- 综合排序
- 最热优先
- 最新优先
- 来自专栏我的安全视界观
【应急能力提升5】应急响应报告点评
本文为整个专题的第五篇,前面完成了方案设计、攻击模拟、应急响应,接下来是对应急响应过程及结果进行点评,在每一个“模拟-应急”之后,组织参与人员提交应急响应报告,由红队组长、防护组长、运营组长和aerfa 在一期模拟(从SQLi攻击到挖矿与权限维持专题)中,收到5份应急响应报告;二期模拟(内网Linux与Windows横向漏洞攻击),增加了2个小组,收到8份报告(有一个小组写了2份报告,最短都是20+页, 由于本次专项针对的是应急响应实战能力,故从以下三个方面来进行评估: 应急响应步骤与方法:考量应急响应人员掌握应急方法、流程与思路的实际情况,在应急场景中十分重要。 02 — 应急捕获攻击点对比表 第I期模拟后,评委拿着5个小组的应急响应报告进行阅读,虽说报告模板格式统一,但是交上来的内容和质量不一,更别提某个攻击细节的分析了。 03 — 应急响应评分要点表 表格中的其他项,不都是针对应急响应的考核。
68730编辑于 2022-12-20 - 来自专栏FreeBuf
事件应急响应管理的5条建议
什么是应急响应? 通常来说,应急响应泛指安全技术人员在遇到突发事件后所采取的措施和行为。而突发事件则是指影响一个系统正常工作的情况。 多数企业都建立了应急响应的独立团队,通常称为计算机安全应急响应小组(Computer Security Incident Response Team,CSIRT),以响应计算机安全事件。 应急响应涉及多门学科,要求多种能力:通常要求从公司的不同部分获取资源。 人力资源部人员、法律顾问、技术专家、安全专家、公共安全官员、商业管理人员、最终用户、技术支持人员和其他涉及计算机安全应急响应的人员。当然这些人员大部分是兼职的,需要在应急响应工作中进行配合。 事件响应管理5大建议 下面就为大家分享一些可能行之有效的事件响应实践建议: ? 1.
1.4K30发布于 2018-07-30 - 来自专栏网络安全攻防
【应急响应】应急响应靶机训练-Web2
pyc反编译工具(https://tool.lu/pyc/)得到源码,从下面我们可以得到矿池的地址——http://wakuang.zhigongshanfang.top 文末小结 本篇文章通过这一个应急靶机我们学到的知识主要有通过
1.3K10编辑于 2025-01-07 - 来自专栏应急响应
Windows应急响应
2024年7月25日10点25分,用户反馈出现失陷主机异常,2024年7月26日10点30分,用户反馈蛀虫占用CPU过高,运行异常
85510编辑于 2024-08-13 - 来自专栏应急响应
linux应急响应
客户名称:Linux应急响应报告时间:2024年-07月-25日报告类型: 分析报告 分析报告**攻击时段:**2024年07月25日15时30分**攻击影响:** 2024年07月25日15时30分,
86210编辑于 2024-08-13 - 来自专栏Khan安全团队
应急响应脚本
Windows 事件日志进行搜索的更好方法的解决方案。使用 Out-GridView,但如果需要,您可以使用 -raw 并导出到 csv/xls。也有原始搜索功能。
1.6K40发布于 2021-09-18 - 来自专栏坐看云起时
windows应急响应
Windows的应急 学习过程中看到师傅文章,所以顺便做了个思维导图 师傅太强了 原文链接已放文末。 常见的应急响应事件分类。 年份的末两位数字+月份+日期+.log 4、Nginx 日志存储路径在Nginx配置文件中,其中: Access_log变量规定了日志存放路径与名字,以及日志格式名称,默认值"access_log" 5、
2.4K30编辑于 2023-05-09 - 来自专栏huasec
聊聊应急响应
“俗话说:好记性不如烂笔头,最近做了几个应急响应就来总结下。” 应急响应分为四个阶段:前期沟通,事件处理,事件分析,报告交付,前期沟通主要是和客户交流事件情况,了解是什么安全事件,客户是否做了处理,如果做了处理,做了那些处理。 沟通贯穿整个应急响应流程,也是最重要的,切记不要一上来就查,了解事件原因才会事半功倍。 0x01 "止血" 应急响应事件分为五大类,网络攻击事件,恶意程序事件,web恶意代码,信息破坏事件和其他事件,每个事件的具体描述如下 image.png (图片来源:https://help.aliyun.com ,换作是你,你发现了这个漏洞,你会怎么做,向高手学习,才能成长更快,总而言之,应急响应,任重道远。
1.8K00发布于 2019-08-23 - 来自专栏红蓝对抗
Windows应急响应
web入侵:Webshell,网页挂马,主页篡改系统入侵:病毒木马,远控后门,勒索软件网络攻击:ARP欺骗,DDOS攻击,DNS劫持针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 但是,在一次被入侵成功的安全事件,我们肯定需要一系列分析溯源,尽可能把整个事件还原,还需要出个应急响应报告的。 入侵排查思路 检查系统账号安全 检查异常端口、进程 检查启动项、计划任务、服务 检查系统相关信息 杀软查杀 日志分析 处置流程: 准备阶段:获取整个事件的信息(比如发生时间,出现啥异常等),准备应急响应相关工具 可进行断网,防火墙策略隔离,关键数据备份,数据恢复 检测阶段:技术分析 取证阶段:确定攻击事件,确定攻击时间,确定攻击过程,确认攻击对象 处置阶段:提出安全问题,提出解决方案,业务恢复 总结阶段:完整应急响应事件报告编写 重要的资料一定要备份,谨防资料丢失 5、强化网络安全意识,陌生链接不点击,陌生文件不要下载,陌生邮件不要打开 后门 我们在这里使用CS上线机器,进行演示。 这里可以知道,机器已经上线。
2.6K21编辑于 2022-06-30 - 来自专栏Khan安全团队
应急响应 - Tips
HKEY_LOCAL_MACHINE\USERDAT\Software\Microsoft\Office\<VERS>\<PROGRAM>\Security\Trusted Documents\TrustRecords
1.3K20编辑于 2022-04-02 - 来自专栏Khan安全团队
应急响应Q&A
什么是应急响应?问:什么是应急响应? 应急响应的基本流程是什么?问:应急响应的基本流程是什么?答:应急响应的基本流程通常包括以下几个步骤:准备:制定应急响应计划,组建应急响应团队,进行培训和演练。 5. 应急响应和溯源过程中常用的工具有哪些?问:应急响应和溯源过程中常用的工具有哪些? 如何收集应急响应和溯源所需的数据?问:如何收集应急响应和溯源所需的数据? 改进应急响应计划:根据总结的经验教训,改进应急响应计划,更新流程和策略。培训和演练:对应急响应团队进行培训和演练,提高团队的应急响应能力和协作水平。
1.6K10编辑于 2024-07-10 - 来自专栏黑战士安全
Linux应急响应笔记
背景 客户的监控系统发现有异常行为,我临时顶替应急的同事处理一下。 应急响应流程 言归正传,应急响应的标准流程应该如何? Lessons learned总结反思事件,一方面从源头上减小安全事件的发现,另一方面提升应急响应的效率。 上面的应急响应还是非常片面的,我搜罗了一系列网友分享的应急响应经验,整理成章方便以后查阅。 我把应急响应流程分为三个部分,分别是 【1】入侵现场,【2】攻击维持,【3】入侵原因,下面我将从这三个方面展开 入侵现场 所谓入侵现场,是指服务器被怀疑中毒的现场环境,一般来说,服务器被怀疑中毒都有异常现象 -7ff48bb5e000 gdb --pid [pid] dump memory /tmp/malware.dump 0x7ff48bb5d000 0x7ff48bb5e000 通过 stat命令查看恶意程序的
1.9K30编辑于 2022-11-19 - 来自专栏一己之见安全团队
应急响应篇——开篇
应急响应必查项: 1.日志(各种日志,访问日志、中间件日志、数据库日志、系统日志、运行日志、安全日志等等等等) 2.计划任务(老生常谈) 3.注册表(推荐用工具吧,手工排查冗长且效率低下) 4.端口(查正在占用的异常端口 ) 5.进程(也是老生常谈,up会单独写一篇关于进程排查的,把白进程和可疑进程都给大家列出来) 6.历史命令(主要针对linux,有时候一个cd都能暴露很多信息,所以最好设置自动备份history) 7 正常来说能给你打进去的无非就是中马、rce、sql注入等几种手段,而未能在攻击实施阶段就发现并阻断攻击,需要应急响应,说明大概率已经中了大马了,产生了反连流量了,这一步最最主要的事情就是把马子找出来,也就是进行定位 三、主机排查 这里就是大家熟知的一些操作了,各种排查,请参考上面的的应急响应排查项,不单独赘述。
66710编辑于 2024-06-05 - 来自专栏FreeBuf
Linux应急响应笔记
背景 前一段时间我处理了一次应急响应,我还输出了一篇文章 Linux应急响应笔记。 这两天又处理了一次病毒入侵,在前一次的基础上,这次应急做了一些自动化脚本,应急响应效率有了一定程度的提升,故另做一份笔记。 PS:本文重在分享应急响应经验,文中保留了恶意网址,但是删除了恶意脚本及程序的下载路径。本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负。 应急操作笔记 查看我上一次 Linux应急响应笔记,我发现罗列这么多命令,很多时候眼花缭乱,操作起来也不方便,不如写个shell脚本自动化收集信息。 tar -zcvf GatherInfo.tar.gz GatherInfo 信息收集结果分析 查看自动化收集的信息GatherInfo下的所有文件内容,根据下面的Checklist表项进行挨个梳理排查 应急响应检查表
3.9K51发布于 2021-01-25 - 来自专栏Khan安全团队
应急响应 - 小技巧
通过PowerShell命令查找进程加载了DLL: ps | ? { $_.Modules.ModuleName -contains 'amsi.dll' } 通过WMI命令识别带有已加载 DLL 的
1.7K20编辑于 2022-04-02 - 来自专栏我的安全视界观
【应急能力提升4】实战应急响应经验
''' 01 — 靶场环境分配 靶场搭建在VM虚机中,在红队完成攻击模拟后制作镜像快照,然后导出分发给每一个应急响应小组。 02 — 应急响应时间 每个专题分析一周,各小组一般都是在下班后及利用周末时间进行分析。整个应急过程,加上报告编写及汇报材料准备,平均每个专题花费十天。 03 — 应急响应流程 在真实场景中,应急响应的情况多种多样,比如遇到勒索病毒、挖矿程序、网页篡改、DDOS攻击、CC攻击等,对应的响应流程也会不同。 这种场景一般是乙方安全公司做应急响应服务时的常规操作,降低了应急难度,提升效率。 看了各组应急响应报告中的修复建议,思路比较固定,基本都分为技术和管理方面。
2.8K20编辑于 2022-08-31 - 来自专栏FreeBuf
应急响应之入侵排查
一、前言 常见的应急响应事件分类: Web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 二、Windows入侵排查 \.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?) \.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c 爆破用户名字典是什么? 文件MD5校验 绝大部分软件,我们下载时都会有MD5文件,这个文件就是软件开发者通过md5算法计算出该如软件的“特征值”,下载下来后,我们可以对比md5的值,如果一样则表明这个软件是安全的,如果不一样则反之 Linux中有一个命令:md5sum可以查看文件的md5值,同理,Windows也有命令或者工具可以查看文件的md5值 ?
1.7K31发布于 2021-02-08 - 来自专栏FreeBuf
说说Windows安全应急响应
比如Facebook泄露的8700万用户数据、前程无忧招聘网站求职信息的泄露、华住下多个连锁酒店5亿信息泄露、万豪喜达屋用户信息泄露等。 由此可见,数据经济时代,数据越来越走向利益化的边缘。 说了这么多下面小白浅谈一下应急响应,我们看一下windows应急处理。 Windows安全应急处置 攻击者入侵一个网站必然会对企业的业务系统造成不同程度的损害,即使入侵不成功,也会使业务系统访问缓慢,即使在网络良好的情况下。 1) 是否有异常进程、用户 2) 敏感端口开放情况 3) 密码强度 4) 日志分析 5)异常启动项、服务、计划任务 6) 注册表信息 7) 其它 进程信息 我们输入tasklis或者打开任务管理器查看进程信息 DATAGRID "SELECT EXTRACTTOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACTTOKEN(Strings,5,
3.6K20发布于 2019-08-26 - 来自专栏Khan安全团队
REvil - 勒索病毒应急响应
(也包括二进制文件) 在 Redline 中,我导航到“分析数据>文件下载历史记录”并找到用于下载恶意二进制文件的源 URL: 5. 二进制的 MD5 哈希值是多少? 要找到恶意 WinRAR 二进制文件的 MD5 哈希,我们可以导航到Redline 中的“分析数据>文件系统”,然后双击 WinRAR 条目以获取更多详细信息,例如它的文件哈希: 6. 如果此注册表值不存在,恶意软件会生成一个由小写字母 (az) 和数字 (0–9) 组成的随机字符串,长度范围为 5 到 10 个字符(含),并以句点开头(例如,.9781xsd4)。 提供解密文件的 MD5 哈希值。 在 Redline 中,我导航到“分析数据>文件系统”并看到一个名为“decryp.tor.exe”的文件。我双击这个条目并看到了 MD5 哈希: 14.
1.4K20编辑于 2022-01-05 - 来自专栏黑客编程
Windows应急响应-异常资源
原文:助安社区-应急响应实战指南 http://security-incident-respons.secself.com端口检查端口连接情况,是否有远程连接、可疑连接。
76010编辑于 2023-04-21
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号