- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
Powershell与威胁狩猎
Powershell版本特性 PowerShell V2 PowerShell V2提供事件记录能力,可以协助蓝队进行相关的攻击事件推断和关联性分析,但是其日志记录单一,相关Post-Exploitation 按Win+R打开Windows运行窗口,在输入框里输入gepdit.msc,打开Windows本地组策略编辑器; 2. 40961 始终记录,无论记录设置如何 PowerShell控制台正在启动 40962 始终记录,无论记录设置如何 PowerShell控制台已准备好进行用户输入 简单的Powershell威胁狩猎 配置完Powershell审核策略后,我们可以进行一次简单的威胁狩猎来验证一下,通过Powershell模拟执行Get-process获取系统进程信息,然后观察Powershell日志能否记录此次测试行为 那么我们大胆的推测一下,是否可以通过命令行行为监控在网内进行简单有效的威胁狩猎。
3.1K20发布于 2021-05-20 - 来自专栏FreeBuf
浅谈威胁狩猎(Threat Hunting)
威胁狩猎,顾名思义,就是在网络安全的世界中寻找威胁,威胁每天都在变化。因此,开发新技术来防御和检测各种类型的威胁和攻击是我们的责任。 从威胁狩猎的定义开始,通过主动和被动的方式搜寻网络中想逃避安全解决方案的高级威胁的过程。 威胁狩猎不是一种技术,而是一种方法。 威胁狩猎的方法: 人工测试–分析人员需要不断寻找可能是入侵证据/指示的任何事物。 对于威胁猎人而言,保持最新的安全研究非常重要。 2.收集数据–根据假设,更加狩猎查找您需要的数据。 3.测试假设并收集信息–收集数据后,根据行为,搜索查询来查找威胁。 4.自动化某些任务–威胁搜寻永远不能完全自动化,而只能是半自动化。 XMLHTTP”“MsXml2.ServerXmlHttp”) 七、机器学习和威胁猎捕 机器学习在网络威胁猎捕中起着重要作用。
3.5K20发布于 2019-11-28 - 来自专栏网络安全
威胁狩猎精准配置指南
与标准的Windows事件日志相比,Sysmon提供了更详细、高质量的日志信息和更精细的配置控制,是进行深度威胁狩猎和应急响应的基石。#####什么是Sysmon? #####关键事件ID详解(KeyEventIDsExplained)Sysmon包含超过29种事件ID,以下是一些在威胁狩猎中最常用的事件ID。 DnsQueryonmatch="exclude"><QueryNamecondition="endwith">.microsoft.com</QueryName></DnsQuery></RuleGroup>2. 4.威胁狩猎实战(PracticalThreatHunting)#####追踪Metasploit假设:Metasploit的meterpretershell通常使用默认端口(如4444,5555)进行 C2通信。
24610编辑于 2026-01-08 - 来自专栏先矛后盾
威胁狩猎第一步
一、前言 尽管自动化安全工具以及第一层和第二层安全运营中心 (SOC) 分析师应该能够处理大约 80% 的威胁,但我们仍需对余下的20%保持高度的警惕。 这部分未被充分覆盖的威胁中,往往隐藏着更为复杂且可能带来重大损失的潜在风险。 网络威胁狩猎为企业安全带来人为元素,补充了自动化系统的不足。 凭借丰富的人为经验能够在威胁可能导致严重问题之前发现、记录、监控并消除威胁。 二、简单的ssh异常登陆检测 假设我们要构建一个最常见的异常检测场景:从海量的SSH连接日志中筛选出异常连接。 } }) .reduceByKey(new Function2<Integer, Integer, Integer>() { @Override -> new Tuple2<>(tuple2._2(), tuple2._1())) //按照key倒排序 .sortByKey(false); 最终保存结果 //分区合并成一个
15000编辑于 2025-01-09 - 来自专栏FreeBuf
DOMAINTOOLS:2020年度威胁狩猎报告
越来越多的组织将威胁狩猎作为安全运营的一部分,主动地狩猎威胁可以降低威胁的风险和影响,提高抵御新威胁的能力。 威胁狩猎目标 超过一半(51%)的组织应用威胁狩猎主要为了减少内部威胁的暴露,其次45%的组织是为了减少恶意感染与数据泄露事件发生的次数,而43%的组织为了减少攻击面。 ? 对待态度 尽管威胁狩猎仍然是新兴的门类,但绝多数组织(88%)都强烈同意“威胁狩猎应该是顶级安全方案”。 ? 值得注意的是勒索软件(41%)也在快速攀升,另外供应链安全(2%)虽然比例不高,但是危害很大。 ? 从业人员 2021 年 2 月对网络安全专业人员进行的全面的在线调查。 ?
1.6K10发布于 2021-05-20 - 来自专栏信安之路
威胁狩猎系列文章之七到九
在本文中,我们将向您展示如何在客户端和域控端检测 Sharphound 客户端特征: 1、与 LDAP\LDAPS (389 端口和 636 端口)和 SMB ( 445 端口) TCP 端口的多个连接 2、 lsass 的多个连接 服务端(即域控或 Windows 网络文件共享)特征: 1、与命名管道 srvsvc,lsarpc 和 samr 的连接(适用于 ”default”和 ”all”扫描模式) 2、 检测示例: 1、CarbonBlack: (ipport:389 or ipport:636) and ipport:445 and filemod:srvsvc and filemod:lsass 2、 WMIC 或 bcdedit.exe 简而言之,您将需要在事件 4826 中监控下列变化(在 BCD 更改后的第一次系统启动时记录): 1、Disable Integrity Checks: Yes 2、 *.tmp) and with different RelativeTargetName and Same AccountName, SourceAddress, SourcePort within 2
1.6K50发布于 2019-05-15 - 来自专栏网络安全技术点滴分享
实战威胁狩猎:利用ELK狩猎终端攻击(数据收集、外泄与破坏)
你还将体验在收集、外泄和影响战术下常用MITRE ATT&CK技术的狩猎过程。本房间的最终目标是教授如何进行威胁狩猎调查,以检测攻击者在系统中的主要目标。学习目标获得应用实践的威胁狩猎调查技能。 体验针对定义范围的威胁狩猎过程。房间先决条件Windows 事件日志Windows 取证 1 & 2核心 Windows 进程SysmonSysinternalsMITRE威胁模拟模块(即将推出!) 任务 2 — "目标行动"威胁狩猎入门—————————————————————————————————————————————————————————————————————————————————— 主动威胁狩猎心态/方法主动威胁狩猎心态指的是主动追查过程并在范围内寻找潜在的威胁/入侵指标。主动方法的最终目的是在威胁造成重大损害或在系统中未被注意之前识别它们。"未被注意"的部分被称为"驻留时间"。 这就是主动心态/方法提高威胁狩猎过程有效性的地方。主动探索、假设驱动方法、持续监控、利用威胁情报、分析和持续改进是主动心态的关键方面。设计和采用主动威胁狩猎心态可能需要时间。
14910编辑于 2026-01-08 - 来自专栏信安之路
威胁狩猎系列文章之四到六
使用域控制器计算机账号登录(通常情况下类似 DC01 的账号)且源IP 并没有与域控制器关联 检测用例: 1、EventID=4720 and "Account Name" contains "$" sign. 2、 and "Account Name" like ".$"] and different "Account Name" and same "Source Network Address" within 2min 4、 EventID=(4624|4625) and "Logon Type" is any of {2, 7, 10} and "Account Name" like ".*$" 5、EventId AQL 查询 2【包括可疑的真/伪计算机账号的 NTLM 登录】 select "SourceUserName", "Source Workstation", "ErrorCode", count() from events where "EventID"=4624 and DestinationUserName imatches '.+$' and (LogonType=10 or LogonType=2
1.2K30发布于 2019-05-15 - 来自专栏信安之路
威胁狩猎系列文章之十到十二
此外,imphash 还可以检测网络中类似的植入(自定义编译器或类似的),即使它们具有不同的 C2 和 md5/sha256 哈希散列值。
1.1K30发布于 2019-05-15 - 来自专栏绿盟科技研究通讯
Provenance Mining:终端溯源数据挖掘与威胁狩猎
为应对高级持续性威胁(AdvancedPersistent Threat,APT)、利益驱动的内部员工威胁,面向主动防御的威胁狩猎(ThreatHunting,TH)方案逐渐得到关注[1]。 本文面向数据驱动威胁狩猎,将针对终端侧行为数据——溯源数据挖掘(ProvenanceMining)与威胁狩猎进行关键概念的介绍与方法总结。 图2 溯源数据图[2] 二、溯源数据威胁狩猎的挑战 溯源数据能够作为威胁狩猎的关键资源,为威胁的识别、评估、关联提供丰富的上下文。不过,仍然没有免费的午餐。 图4 溯源数据挖掘的威胁狩猎方法分类 威胁狩猎的一种假设是,当前网络环境下有未被检测出的已知威胁,例如边界检测设备未覆盖的,或者威胁情报的最新推送等等。 图5 已知威胁模式匹配 威胁狩猎的另一种假设是,行为模式未知的威胁已突破防护边界,潜伏在信息系统内部,需要在溯源数据中识别恶意行为,实现攻击场景的重建。
5K10发布于 2020-04-26 - 来自专栏信安之路
威胁狩猎系列文章之一到三
威胁狩猎#1 寻找 RDP 劫持痕迹 远程桌面是攻击者最喜欢的访问方式之一,因为它允许仅使用鼠标和键盘来发现系统以及相邻主机(更少的足迹,不需要特殊的命令与实用程序)。 change-rdp-port-windows-10/ 原帖链接: https://blog.menasec.net/2019/02/of-rdp-hijacking-part1-remote-desktop.html 威胁狩猎 #2 使用 EID 5145检测 PsLoggedOn exec 什么是 PsLoggedOn? 要检测 PsLoggedon ,我们将使用以下内容: 1、远程注册表访问的痕迹(通过 IPC $ SMB 共享暴露给 winreg 命名管道的连接) 2、NetSessionEnum API 的跟踪(通过 downloads/psloggedon 原帖链接: https://blog.menasec.net/2019/02/threat-hunting-detecting-psloggedon.html 威胁狩猎
2K30发布于 2019-05-09 - 来自专栏网络安全技术点滴分享
威胁狩猎平台升级:全新认证机制与功能增强
所有互联网用户都应感谢这群威胁狩猎者,他们为网络安全持续做出积极持久的贡献。在Spamhaus的协助下,abuse.ch所有平台即将迎来重大更新,以进一步赋能这一集体。 发展概述本次改进有两个核心目标:一是进一步提升在abuse.ch平台上的威胁狩猎效率,二是提高平台稳定性,确保为共享和利用我们提供的数据带来更可靠的互联网环境。 提升狩猎效率从2025年2月起,认证用户将可使用我们平台的附加功能,包括:新数据集:误报列表 - 提供数据变更差异的可视化。 MalwareBazaar和YARAify更新:在这两个平台上使用狩猎功能需进行认证 - 此更新将与上述新功能于2025年2月同步实施。 tab=repositories人人为社区,社区为人人abuse.ch近二十年来独立支持威胁狩猎者和安全专家社区,现已壮大至15,000名成员。
21710编辑于 2025-10-25 - 来自专栏红队蓝军
攻防实战下的威胁狩猎 |附完整报告下载
威胁狩猎的三要素 威胁狩猎是指在服务器和终端追踪异常活动,包括数据被窃取、入侵或泄露的迹象。尽管威胁狩猎的概念并不新鲜,但是对于许多组织来说,如何有效执行威胁狩猎依然是个难题。 人员:培养威胁狩猎的文化 组建一个威胁狩猎团队需要考虑团队构成、时间资源、狩猎培训、系统化管理等方面的内容。 (2)时间资源 除非公司拨出一大笔钱来建立独立的威胁狩猎团队,否则只能从现有员工的工作中抽出时间来进行威胁狩猎。 例如,威胁猎人可以溯源分析之前发生可疑活动的数据。 (2)获取网络事件数据 威胁猎人除了需要拥有终端可视化之外,访问网络事件数据也是必不可少的。 (2)知道组织机构的高价值目标 在威胁狩猎中,威胁猎人需要知道目标是什么。根据攻击者的攻击目标,这些信息可以是客户或员工数据之类的信息,也可以是面向公共Web服务器之类的关键资产。
1.4K40编辑于 2022-05-27 - 来自专栏网络安全技术点滴分享
网络安全威胁狩猎:主动防御的终极指南
威胁狩猎实战:网络安全主动防御终极指南引言在网络威胁以闪电速度演变的时代,威胁狩猎已成为主动防御的重要实践。本文基于数据和专家见解,深入探讨定义现代威胁狩猎的方法论、工具和技术。 威胁狩猎的必要性随着网络攻击日益复杂化,传统安全措施已不再足够。组织必须采取主动立场,在威胁造成损害之前检测和缓解威胁。威胁狩猎的核心概念假设驱动调查:威胁狩猎始于基于组织环境特定潜在威胁的假设。 该团队利用行为分析在发生重大损害之前检测并隔离了威胁。案例研究2:医疗数据泄露预防在医疗场景中,主动威胁狩猎识别了网络内可疑的横向移动,导致发现并中和了针对患者记录的勒索软件攻击。 威胁狩猎的未来趋势先进AI与机器学习:未来威胁狩猎将严重依赖AI来预测和应对新兴威胁。零信任架构集成:威胁狩猎将成为零信任策略的关键组成部分,确保持续验证所有用户和设备。 云原生威胁狩猎:随着云采用的增长,威胁狩猎实践将演进以应对云特定挑战。结论威胁狩猎是现代网络安全的关键方面,使组织能够领先于对手。
36010编辑于 2025-10-19 - 来自专栏网络安全技术点滴分享
协议级网络威胁狩猎:基于Wireshark的实战指南
执行摘要协议级网络威胁狩猎专注于网络流量中异常模式的深度分析,而非仅关注端点遗留物。 在C2(命令与控制)和外泄攻击中常被滥用的协议——DNS、HTTP/HTTPS/TLS,以及NetBIOS/NTP等传统协议——需要重点检查。 威胁狩猎人员既使用签名匹配(IOC检测)也进行行为分析:例如,识别快速通量DNS(大量应答记录、低TTL值)或DNS隧道(随机、高熵子域名)。 在实践中,分析师会提出假设(例如“恶意软件正通过DNS外泄数据”),然后基于威胁情报对数据包捕获文件或实时流量进行特征查询。 这种协议级的可视性是防御的关键,因为…---FINISHEDCSD0tFqvECLokhw9aBeRqu8GpO2AnQi0bR638wa2V+dYqxt2D/8fZ9M6l7tVbfXKjR9L7wfvV7ctITbqOfYtByKMazh9uMMmGpiLtNKRkBFFNjlGXksyYViEpxTZpIk0wV2nEr9RW7
13510编辑于 2026-02-12 - 来自专栏网络安全观
基于 ATT&CK 的 APT 威胁跟踪和狩猎
下面将进入正文,那么这篇文章会从以下几个维度来介绍 ATT&CK: 从其设计角度剖析 ATT&CK 的框架原理; 从数据视角谈谈如何对 ATT&CK 进行运营; 对 ATT&CK 的战技术以及其在分析狩猎时的应用进行简单介绍 后来,威胁情报来了,威胁情报会告诉威胁分析师或运营人员,攻击来源是谁,其意图和目的是什么,用了什么样的战术、技术和过程,也就是 TTP,并且从威胁情报的角度,恶意载荷 Hash、域名、IP 是容易变更的 而 MITRE 后续设计了 ATT&CK 框架,并且将其融入到 STIX2的结构定义中。 结合 ATT&CK 的分析和狩猎 对于威胁分析人员来说,有时候真的和“盲人摸象”和“管中窥豹”的故事比较类似,往往需要通过单一线索关联出更多,并且通过碎片化的证据还原攻击的全貌。 在这里我们也列举了一些有趣的狩猎策略,例如某个欧洲 APT 组织,也被卡巴称为Animal Farm(动物农场),其错误的 User-Agent 拼写也给予我们一些狩猎启发,对于一些数量分布上比较小众的
1.7K10发布于 2021-02-26 网络安全威胁狩猎:终极指南,从理论到实践
威胁狩猎 #现场:网络安全警戒终极指南引言在网络威胁以闪电速度演变的时代,威胁狩猎已成为主动防御的重要实践。本文基于数据和专家见解,深入探讨了定义现代威胁狩猎的方法论、工具和技术。 威胁狩猎的必要性随着网络攻击日益复杂化,传统安全措施已不再足够。组织必须采取主动姿态,在威胁造成损害之前进行检测和缓解。威胁狩猎的关键概念假设驱动调查:威胁狩猎始于基于组织特定环境潜在威胁的假设。 该团队利用行为分析在发生任何重大损害之前检测并隔离了威胁。案例研究 2:医疗数据泄露预防:在一个医疗场景中,主动威胁狩猎识别出网络内可疑的横向移动,从而发现并阻止了针对患者记录的一次勒索软件攻击。 云原生威胁狩猎:随着云采用的增长,威胁狩猎实践将不断发展以应对云特定的挑战。结论威胁狩猎是现代网络安全的关键方面,使组织能够领先于对手。 +t2E11KBpsTAH0ER1H4ajlhDrlaNkDQYJhn0mpqejwNy9kXV94VL0=
34110编辑于 2026-01-08协议级网络威胁狩猎:以Wireshark为核心的实战指南
执行摘要协议级的网络威胁狩猎专注于发现网络流量中的异常模式,而非仅仅依赖终端 artifacts。 在命令与控制(C2)及数据泄露攻击中经常被滥用的协议——如DNS、HTTP/HTTPS/TLS,以及NetBIOS/NTP等传统协议——需要重点检查。 狩猎人员同时使用签名匹配(IOC)和行为分析:例如,发现快速变更DNS(fast-flux DNS,即包含大量IP答案且TTL值很低)或DNS隧道(随机、高熵的子域名)。 在实践中,分析师会先制定假设(例如,“恶意软件正通过DNS泄露数据”),然后在数据包捕获文件或实时数据流中查询可疑迹象,这一过程通常由威胁情报来指引。 这种协议级的可见性至关重要,因为它...FINISHEDCSD0tFqvECLokhw9aBeRqu8GpO2AnQi0bR638wa2V+dYqxt2D/8fZ9M6l7tVbfXKjR9L7wfvV7ctITbqOfYtByKMazh9uMMmGpiLtNKRkBFFNjlGXksyYViEpxTZpIk0wV2nEr9RW7
11700编辑于 2026-02-14- 来自专栏FreeBuf
构建一套属于你自己的小型仿真威胁狩猎平台
0x01 前言 本文主要讲述如何在自己本地构建起一套小型威胁狩猎平台,同时你也可以基于该小型威胁狩猎平台来辅助你理解ATT&CK相关技术,并了解蓝队视角下红队攻击技术可能会带来哪些痕迹。 部署Splunk日志转发工具,转发Windows event_log和Sysmon_log至Soc平台; 2、部署Ubuntu18.04,并安装Splunk Free,作为Soc平台,收集域内主机日志, 阶段2:执行测试 本次模拟主要为Atomic Red Team项目中的T1069-002第一个测试项,该测试项包含以下命令: net localgroup net group /domain net group 0x04 最后 通过这篇文章,你可以简单的利用自己的资源部署一套小型仿真威胁狩猎平台,来模拟各种攻击手法,并分析相关特征。同时,也可以辅助你来理解ATT&CK相关技战术手法。 基于这套小型仿真威胁狩猎平台,你还可以做更多的事情,值得你去发掘,比如利用Sysmon、Audit日志等,去做更有意义的事情。
1.4K21发布于 2021-11-16 - 来自专栏红队蓝军
CobaltStrike的狩猎与反狩猎
0x01 前言 又到了xxx的时间了,在对红队基础设施的准备时写下的这篇文章 0x02 开始狩猎 CobaltStrike版本:4.9.1 不做任何配置启动teamserver 使用默认配置的生成x64 ://github.com/hasherezade/process_overwriting)等优秀的作品,真正左右手互博 通过hollows_hunter可以很轻松的检测到一些异常的进程 0x03 反狩猎 default.profile发现了结果,而且与Windows_Trojan_CobaltStrike_ee756db7匹配的规则一致 把他复制出来,并删除stage里面内容作为Malleable-C2来使用 加载该套件,重新生成beacon,运行上线,使用yara对进程进行检测,可以看到和shellcode loader上线一样是检测不到的 以上是x64的修改,x86也同样适用,不过x86需要额外修改一下2个位置 whatever) 方法 打乱一下它的结构就行 /arsenal-kit/kits/artifact/src-common/patch.c 也是打乱一下结构 0x04 效果测试 其实到了这一步已经能解决狩猎中的所有检测了
1.2K11编辑于 2024-06-17
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号