- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
Powershell与威胁狩猎
PowerShell脚本因其良好的功能特性常用于正常的系统管理和安全配置工作,然而,这些特性被攻击者理解并转化为攻击特性,也就成为了攻击者手中的攻城利器,给企业网络造成威胁。 PowerShell V7 PowerShell V7(PS7)基于.NET Core 3.0,Microsoft旨在提供与Windows PowerShell模块更高的兼容性,高达90%。 40961 始终记录,无论记录设置如何 PowerShell控制台正在启动 40962 始终记录,无论记录设置如何 PowerShell控制台已准备好进行用户输入 简单的Powershell威胁狩猎 配置完Powershell审核策略后,我们可以进行一次简单的威胁狩猎来验证一下,通过Powershell模拟执行Get-process获取系统进程信息,然后观察Powershell日志能否记录此次测试行为 那么我们大胆的推测一下,是否可以通过命令行行为监控在网内进行简单有效的威胁狩猎。
3.1K20发布于 2021-05-20 - 来自专栏FreeBuf
浅谈威胁狩猎(Threat Hunting)
威胁狩猎,顾名思义,就是在网络安全的世界中寻找威胁,威胁每天都在变化。因此,开发新技术来防御和检测各种类型的威胁和攻击是我们的责任。 从威胁狩猎的定义开始,通过主动和被动的方式搜寻网络中想逃避安全解决方案的高级威胁的过程。 威胁狩猎不是一种技术,而是一种方法。 作为一名安全分析师,威胁猎捕是以有效地运用我们的只是发现网络环境中的任何异常情况。 威胁猎人使用批判性思维能力和创造力来查看正常得网络行为并能够识别异常的行为。 一、为什么要做威胁狩猎? 威胁狩猎的方法: 人工测试–分析人员需要不断寻找可能是入侵证据/指示的任何事物。 对于威胁猎人而言,保持最新的安全研究非常重要。 威胁猎捕是对各种数据源(例如端点,网络,外围等)执行的。它只是有效地运用我们的知识来发现异常。需要批判性思维能力。由威胁指数(IOC)组成的威胁情报在执行狩猎过程中也起着重要作用。
3.5K20发布于 2019-11-28 - 来自专栏网络安全
威胁狩猎精准配置指南
与标准的Windows事件日志相比,Sysmon提供了更详细、高质量的日志信息和更精细的配置控制,是进行深度威胁狩猎和应急响应的基石。#####什么是Sysmon? #####关键事件ID详解(KeyEventIDsExplained)Sysmon包含超过29种事件ID,以下是一些在威胁狩猎中最常用的事件ID。 DestinationPortname="Alert,Metasploit"condition="is">4444</DestinationPort></NetworkConnect></RuleGroup>EventID7: 4.威胁狩猎实战(PracticalThreatHunting)#####追踪Metasploit假设:Metasploit的meterpretershell通常使用默认端口(如4444,5555)进行
24610编辑于 2026-01-08 - 来自专栏先矛后盾
威胁狩猎第一步
一、前言 尽管自动化安全工具以及第一层和第二层安全运营中心 (SOC) 分析师应该能够处理大约 80% 的威胁,但我们仍需对余下的20%保持高度的警惕。 这部分未被充分覆盖的威胁中,往往隐藏着更为复杂且可能带来重大损失的潜在风险。 网络威胁狩猎为企业安全带来人为元素,补充了自动化系统的不足。 凭借丰富的人为经验能够在威胁可能导致严重问题之前发现、记录、监控并消除威胁。 二、简单的ssh异常登陆检测 假设我们要构建一个最常见的异常检测场景:从海量的SSH连接日志中筛选出异常连接。
15000编辑于 2025-01-09 - 来自专栏FreeBuf
DOMAINTOOLS:2020年度威胁狩猎报告
越来越多的组织将威胁狩猎作为安全运营的一部分,主动地狩猎威胁可以降低威胁的风险和影响,提高抵御新威胁的能力。 威胁狩猎目标 超过一半(51%)的组织应用威胁狩猎主要为了减少内部威胁的暴露,其次45%的组织是为了减少恶意感染与数据泄露事件发生的次数,而43%的组织为了减少攻击面。 ? 带来的好处 威胁狩猎平台为安全分析人员提供了能够更早检测威胁、缩短处置时间、改进未来攻击防御的强大工具。68% 的组织认为威胁狩猎提高了对高级威胁的检测,55% 的组织认为减少了分析调查的时间。 对待态度 尽管威胁狩猎仍然是新兴的门类,但绝多数组织(88%)都强烈同意“威胁狩猎应该是顶级安全方案”。 ? 投入预算 相比往年,为威胁狩猎投入预算的模式没有太大变化。36% 的组织将会增加威胁狩猎上的支出,而 53% 的企业会维持预算的稳定投入。 ?
1.6K10发布于 2021-05-20 - 来自专栏信安之路
威胁狩猎系列文章之七到九
Threat Hunting #7 利用事件 ID5145 日志检测 BloodHound Sharphound BloodHound 可以帮助攻击者更简单地分析域环境情况,确定攻击路线,完成域内横向移动和权限提升 docs.microsoft.com/en-us/sysinternals/downloads/sysmon 原文: https://blog.menasec.net/2019/02/threat-hunting-7-
1.6K50发布于 2019-05-15 - 来自专栏网络安全技术点滴分享
实战威胁狩猎:利用ELK狩猎终端攻击(数据收集、外泄与破坏)
你还将体验在收集、外泄和影响战术下常用MITRE ATT&CK技术的狩猎过程。本房间的最终目标是教授如何进行威胁狩猎调查,以检测攻击者在系统中的主要目标。学习目标获得应用实践的威胁狩猎调查技能。 主动威胁狩猎心态/方法主动威胁狩猎心态指的是主动追查过程并在范围内寻找潜在的威胁/入侵指标。主动方法的最终目的是在威胁造成重大损害或在系统中未被注意之前识别它们。"未被注意"的部分被称为"驻留时间"。 这就是主动心态/方法提高威胁狩猎过程有效性的地方。主动探索、假设驱动方法、持续监控、利用威胁情报、分析和持续改进是主动心态的关键方面。设计和采用主动威胁狩猎心态可能需要时间。 最后但并非最不重要:有效威胁狩猎的原子提示考虑范围和组织资产所有者(组织)的特征、独特因素、运营行业、特定威胁态势和监管要求始终至关重要。观察上述关键点将帮助你实施定制化和有效的威胁狩猎过程。 /M7AZE9
14910编辑于 2026-01-08 - 来自专栏信安之路
威胁狩猎系列文章之四到六
and same "Source Network Address" within 2min 4、 EventID=(4624|4625) and "Logon Type" is any of {2, 7, "EventID"=4624 and DestinationUserName imatches '.+$' and (LogonType=10 or LogonType=2 or LogonType=7)
1.2K30发布于 2019-05-15 - 来自专栏信安之路
威胁狩猎系列文章之十到十二
从上图 SYSMON 的监控日志可以看到 7-zip 被重命名为 bla.exe,且可以看到他的 MD5 值发生了变化,那么这样导致如果我们的监控条件并不是那么灵活的话,有可能就会被绕过,而一种特殊的检测恶意软件的方法是检测其 & reg query HKCU /s /d /f "msiexec" & reg query HKCU /s /d /f "javaw.exe" 作者在 3 台不同的 Windows 机器上(Win7
1.1K30发布于 2019-05-15 - 来自专栏绿盟科技研究通讯
Provenance Mining:终端溯源数据挖掘与威胁狩猎
本文面向数据驱动威胁狩猎,将针对终端侧行为数据——溯源数据挖掘(ProvenanceMining)与威胁狩猎进行关键概念的介绍与方法总结。 图2 溯源数据图[2] 二、溯源数据威胁狩猎的挑战 溯源数据能够作为威胁狩猎的关键资源,为威胁的识别、评估、关联提供丰富的上下文。不过,仍然没有免费的午餐。 图4 溯源数据挖掘的威胁狩猎方法分类 威胁狩猎的一种假设是,当前网络环境下有未被检测出的已知威胁,例如边界检测设备未覆盖的,或者威胁情报的最新推送等等。 HERCULE[7]认为威胁事件与正常事件之间有较明确的社区化行为划分,通过将多源日志融合,以自动化的方式完成异常行为社区发现,归并其对应的攻击步骤。 ? suspicious information flows[C]. 2019 IEEE Symposium on Security and Privacy (SP), 2019: 1137-1152. [7]
5K10发布于 2020-04-26 - 来自专栏信安之路
威胁狩猎系列文章之一到三
威胁狩猎#1 寻找 RDP 劫持痕迹 远程桌面是攻击者最喜欢的访问方式之一,因为它允许仅使用鼠标和键盘来发现系统以及相邻主机(更少的足迹,不需要特殊的命令与实用程序)。 change-rdp-port-windows-10/ 原帖链接: https://blog.menasec.net/2019/02/of-rdp-hijacking-part1-remote-desktop.html 威胁狩猎 downloads/psloggedon 原帖链接: https://blog.menasec.net/2019/02/threat-hunting-detecting-psloggedon.html 威胁狩猎
2K30发布于 2019-05-09 - 来自专栏网络安全技术点滴分享
威胁狩猎平台升级:全新认证机制与功能增强
所有互联网用户都应感谢这群威胁狩猎者,他们为网络安全持续做出积极持久的贡献。在Spamhaus的协助下,abuse.ch所有平台即将迎来重大更新,以进一步赋能这一集体。 发展概述本次改进有两个核心目标:一是进一步提升在abuse.ch平台上的威胁狩猎效率,二是提高平台稳定性,确保为共享和利用我们提供的数据带来更可靠的互联网环境。 提升狩猎效率从2025年2月起,认证用户将可使用我们平台的附加功能,包括:新数据集:误报列表 - 提供数据变更差异的可视化。 该列表将覆盖所有平台,可通过GUI、API和CSV导出访问,无需手动检查差异,为狩猎节省更多时间。URLhaus:狩猎功能 - 用户可订阅通知,当URL有效负载发生变化或URL匹配特定模式时接收提醒。 tab=repositories人人为社区,社区为人人abuse.ch近二十年来独立支持威胁狩猎者和安全专家社区,现已壮大至15,000名成员。
21710编辑于 2025-10-25 - 来自专栏红队蓝军
攻防实战下的威胁狩猎 |附完整报告下载
威胁狩猎的三要素 威胁狩猎是指在服务器和终端追踪异常活动,包括数据被窃取、入侵或泄露的迹象。尽管威胁狩猎的概念并不新鲜,但是对于许多组织来说,如何有效执行威胁狩猎依然是个难题。 人员:培养威胁狩猎的文化 组建一个威胁狩猎团队需要考虑团队构成、时间资源、狩猎培训、系统化管理等方面的内容。 (2)时间资源 除非公司拨出一大笔钱来建立独立的威胁狩猎团队,否则只能从现有员工的工作中抽出时间来进行威胁狩猎。 • 提高技能:威胁猎人需要提高自身技能和知识。 技术:采用必要的技术 威胁狩猎是一项人机结合的活动,如果没有合适的工具,威胁狩猎行动将一无所获。 威胁狩猎的必要准备:熟悉所需要的环境 除了结合人员、技术和流程不断改善威胁狩猎之外,开始威胁狩猎的一个前提准备是要尽可能多地了解所在组织机构的环境,这样才能更好地判断什么是正常的,什么是不正常的。
1.4K40编辑于 2022-05-27 - 来自专栏网络安全技术点滴分享
网络安全威胁狩猎:主动防御的终极指南
威胁狩猎实战:网络安全主动防御终极指南引言在网络威胁以闪电速度演变的时代,威胁狩猎已成为主动防御的重要实践。本文基于数据和专家见解,深入探讨定义现代威胁狩猎的方法论、工具和技术。 威胁狩猎的必要性随着网络攻击日益复杂化,传统安全措施已不再足够。组织必须采取主动立场,在威胁造成损害之前检测和缓解威胁。威胁狩猎的核心概念假设驱动调查:威胁狩猎始于基于组织环境特定潜在威胁的假设。 MISP:促进威胁情报共享的平台。案例研究与实际案例案例研究1:金融行业攻击缓解一家领先的金融机构通过实施强大的威胁狩猎计划,成功阻止了高级持续性威胁。 威胁狩猎的未来趋势先进AI与机器学习:未来威胁狩猎将严重依赖AI来预测和应对新兴威胁。零信任架构集成:威胁狩猎将成为零信任策略的关键组成部分,确保持续验证所有用户和设备。 云原生威胁狩猎:随着云采用的增长,威胁狩猎实践将演进以应对云特定挑战。结论威胁狩猎是现代网络安全的关键方面,使组织能够领先于对手。
36010编辑于 2025-10-19 - 来自专栏网络安全技术点滴分享
协议级网络威胁狩猎:基于Wireshark的实战指南
执行摘要协议级网络威胁狩猎专注于网络流量中异常模式的深度分析,而非仅关注端点遗留物。 威胁狩猎人员既使用签名匹配(IOC检测)也进行行为分析:例如,识别快速通量DNS(大量应答记录、低TTL值)或DNS隧道(随机、高熵子域名)。 在实践中,分析师会提出假设(例如“恶意软件正通过DNS外泄数据”),然后基于威胁情报对数据包捕获文件或实时流量进行特征查询。 这种协议级的可视性是防御的关键,因为…---FINISHEDCSD0tFqvECLokhw9aBeRqu8GpO2AnQi0bR638wa2V+dYqxt2D/8fZ9M6l7tVbfXKjR9L7wfvV7ctITbqOfYtByKMazh9uMMmGpiLtNKRkBFFNjlGXksyYViEpxTZpIk0wV2nEr9RW7 //6iAzo7dQ7w==
13510编辑于 2026-02-12 - 来自专栏网络安全观
基于 ATT&CK 的 APT 威胁跟踪和狩猎
后来,威胁情报来了,威胁情报会告诉威胁分析师或运营人员,攻击来源是谁,其意图和目的是什么,用了什么样的战术、技术和过程,也就是 TTP,并且从威胁情报的角度,恶意载荷 Hash、域名、IP 是容易变更的 在 PPT 中我也截取了 Vault7项目中某国情报机构 OSB 部门中实现的代码执行向量模块的不同实现方式。 结合 ATT&CK 的分析和狩猎 对于威胁分析人员来说,有时候真的和“盲人摸象”和“管中窥豹”的故事比较类似,往往需要通过单一线索关联出更多,并且通过碎片化的证据还原攻击的全貌。 在这里我们也列举了一些有趣的狩猎策略,例如某个欧洲 APT 组织,也被卡巴称为Animal Farm(动物农场),其错误的 User-Agent 拼写也给予我们一些狩猎启发,对于一些数量分布上比较小众的 E8%B7%9F%E8%B8%AA%E5%92%8C%E7%8B%A9%E7%8C%8E.pdf
1.7K10发布于 2021-02-26 网络安全威胁狩猎:终极指南,从理论到实践
威胁狩猎 #现场:网络安全警戒终极指南引言在网络威胁以闪电速度演变的时代,威胁狩猎已成为主动防御的重要实践。本文基于数据和专家见解,深入探讨了定义现代威胁狩猎的方法论、工具和技术。 威胁狩猎的必要性随着网络攻击日益复杂化,传统安全措施已不再足够。组织必须采取主动姿态,在威胁造成损害之前进行检测和缓解。威胁狩猎的关键概念假设驱动调查:威胁狩猎始于基于组织特定环境潜在威胁的假设。 威胁狩猎的未来趋势高级人工智能与机器学习:未来的威胁狩猎将严重依赖人工智能来预测和应对新出现的威胁。与零信任架构集成:威胁狩猎将成为零信任战略的关键组成部分,确保对所有用户和设备进行持续验证。 云原生威胁狩猎:随着云采用的增长,威胁狩猎实践将不断发展以应对云特定的挑战。结论威胁狩猎是现代网络安全的关键方面,使组织能够领先于对手。 CSD0tFqvECLokhw9aBeRqgUBN1CAyzaK7xnkIElc4NXf+vY2yZY4i5sJrvjzDtSZjb9fYT06VEOVQ8sOZiGmJjiV+Bd7HLxpKka1HIO3hrkEWxQMUqsv9j
34110编辑于 2026-01-08协议级网络威胁狩猎:以Wireshark为核心的实战指南
执行摘要协议级的网络威胁狩猎专注于发现网络流量中的异常模式,而非仅仅依赖终端 artifacts。 狩猎人员同时使用签名匹配(IOC)和行为分析:例如,发现快速变更DNS(fast-flux DNS,即包含大量IP答案且TTL值很低)或DNS隧道(随机、高熵的子域名)。 在实践中,分析师会先制定假设(例如,“恶意软件正通过DNS泄露数据”),然后在数据包捕获文件或实时数据流中查询可疑迹象,这一过程通常由威胁情报来指引。 这种协议级的可见性至关重要,因为它...FINISHEDCSD0tFqvECLokhw9aBeRqu8GpO2AnQi0bR638wa2V+dYqxt2D/8fZ9M6l7tVbfXKjR9L7wfvV7ctITbqOfYtByKMazh9uMMmGpiLtNKRkBFFNjlGXksyYViEpxTZpIk0wV2nEr9RW7 //6iAzo7dQ7w==
11700编辑于 2026-02-14- 来自专栏绿盟科技研究通讯
伏影实验室在行动|7*24h攻防演练技术支持和威胁狩猎服务
基于近日发布的绿盟高级威胁狩猎系统(简称“ATH”),绿盟科技伏影实验室的研究员们在2021年4月-5月期间针对蜜罐产品ATH提供7*24h的技术支持服务和威胁狩猎服务,以此满足用户在攻防演练过程中的技术需求 绿盟科技伏影实验室基于多年对欺骗防御技术的深入研究,强力推出绿盟高级威胁狩猎系统(NSFOCUS Advanced Threat Hunting System,简称“ATH”)。 ATH是以欺骗防御技术为核心,对网络中的潜在威胁进行检测和发现的安全攻防产品。用户通过设下的诱饵来诱捕黑客,并结合威胁情报,对黑客进行精准攻击刻画及溯源反制,及时发现更多威胁,保护资产安全。 ATH面对攻防演练场景和威胁发现场景分别做风险点分析和应对解决方案: 风险点分析 传统安全防护设备,只管边界,内网裸奔,威胁发现效果差 安全日志数据巨大,分辨、处理和溯源取证耗时耗力,防护不及时 反制能力弱 研究目标包括僵尸网络威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。
1.8K10发布于 2021-04-01 - 来自专栏FreeBuf
构建一套属于你自己的小型仿真威胁狩猎平台
0x01 前言 本文主要讲述如何在自己本地构建起一套小型威胁狩猎平台,同时你也可以基于该小型威胁狩猎平台来辅助你理解ATT&CK相关技术,并了解蓝队视角下红队攻击技术可能会带来哪些痕迹。 0x03 模拟狩猎 在接下来的例子中我们将会模拟使用Atomic Red Team在Windows server 2016上模拟T1069-002权限组发现。 0x04 最后 通过这篇文章,你可以简单的利用自己的资源部署一套小型仿真威胁狩猎平台,来模拟各种攻击手法,并分析相关特征。同时,也可以辅助你来理解ATT&CK相关技战术手法。 基于这套小型仿真威胁狩猎平台,你还可以做更多的事情,值得你去发掘,比如利用Sysmon、Audit日志等,去做更有意义的事情。
1.4K21发布于 2021-11-16
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号