- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
Powershell与威胁狩猎
PowerShell脚本因其良好的功能特性常用于正常的系统管理和安全配置工作,然而,这些特性被攻击者理解并转化为攻击特性,也就成为了攻击者手中的攻城利器,给企业网络造成威胁。 40961 始终记录,无论记录设置如何 PowerShell控制台正在启动 40962 始终记录,无论记录设置如何 PowerShell控制台已准备好进行用户输入 简单的Powershell威胁狩猎 配置完Powershell审核策略后,我们可以进行一次简单的威胁狩猎来验证一下,通过Powershell模拟执行Get-process获取系统进程信息,然后观察Powershell日志能否记录此次测试行为 那么我们大胆的推测一下,是否可以通过命令行行为监控在网内进行简单有效的威胁狩猎。
3.1K20发布于 2021-05-20 - 来自专栏FreeBuf
浅谈威胁狩猎(Threat Hunting)
威胁狩猎,顾名思义,就是在网络安全的世界中寻找威胁,威胁每天都在变化。因此,开发新技术来防御和检测各种类型的威胁和攻击是我们的责任。 从威胁狩猎的定义开始,通过主动和被动的方式搜寻网络中想逃避安全解决方案的高级威胁的过程。 威胁狩猎不是一种技术,而是一种方法。 作为一名安全分析师,威胁猎捕是以有效地运用我们的只是发现网络环境中的任何异常情况。 威胁猎人使用批判性思维能力和创造力来查看正常得网络行为并能够识别异常的行为。 一、为什么要做威胁狩猎? 威胁狩猎的方法: 人工测试–分析人员需要不断寻找可能是入侵证据/指示的任何事物。 对于威胁猎人而言,保持最新的安全研究非常重要。 威胁猎捕是对各种数据源(例如端点,网络,外围等)执行的。它只是有效地运用我们的知识来发现异常。需要批判性思维能力。由威胁指数(IOC)组成的威胁情报在执行狩猎过程中也起着重要作用。
3.5K20发布于 2019-11-28 威胁狩猎精准配置指南
与标准的Windows事件日志相比,Sysmon提供了更详细、高质量的日志信息和更精细的配置控制,是进行深度威胁狩猎和应急响应的基石。#####什么是Sysmon? #####关键事件ID详解(KeyEventIDsExplained)Sysmon包含超过29种事件ID,以下是一些在威胁狩猎中最常用的事件ID。 4.威胁狩猎实战(PracticalThreatHunting)#####追踪Metasploit假设:Metasploit的meterpretershell通常使用默认端口(如4444,5555)进行
22110编辑于 2026-01-08- 来自专栏先矛后盾
威胁狩猎第一步
一、前言 尽管自动化安全工具以及第一层和第二层安全运营中心 (SOC) 分析师应该能够处理大约 80% 的威胁,但我们仍需对余下的20%保持高度的警惕。 这部分未被充分覆盖的威胁中,往往隐藏着更为复杂且可能带来重大损失的潜在风险。 网络威胁狩猎为企业安全带来人为元素,补充了自动化系统的不足。 凭借丰富的人为经验能够在威胁可能导致严重问题之前发现、记录、监控并消除威胁。 二、简单的ssh异常登陆检测 假设我们要构建一个最常见的异常检测场景:从海量的SSH连接日志中筛选出异常连接。
14600编辑于 2025-01-09 - 来自专栏FreeBuf
DOMAINTOOLS:2020年度威胁狩猎报告
越来越多的组织将威胁狩猎作为安全运营的一部分,主动地狩猎威胁可以降低威胁的风险和影响,提高抵御新威胁的能力。 威胁狩猎目标 超过一半(51%)的组织应用威胁狩猎主要为了减少内部威胁的暴露,其次45%的组织是为了减少恶意感染与数据泄露事件发生的次数,而43%的组织为了减少攻击面。 ? 带来的好处 威胁狩猎平台为安全分析人员提供了能够更早检测威胁、缩短处置时间、改进未来攻击防御的强大工具。68% 的组织认为威胁狩猎提高了对高级威胁的检测,55% 的组织认为减少了分析调查的时间。 对待态度 尽管威胁狩猎仍然是新兴的门类,但绝多数组织(88%)都强烈同意“威胁狩猎应该是顶级安全方案”。 ? 投入预算 相比往年,为威胁狩猎投入预算的模式没有太大变化。36% 的组织将会增加威胁狩猎上的支出,而 53% 的企业会维持预算的稳定投入。 ?
1.6K10发布于 2021-05-20 - 来自专栏信安之路
威胁狩猎系列文章之七到九
BloodHound 可以帮助攻击者更简单地分析域环境情况,确定攻击路线,完成域内横向移动和权限提升。防御者也可以使用 BloodHound 去识别和清理这些容易被攻击者利用的攻击路线。红队和蓝队都可以借助 BloodHound 更轻松地深入了解 AD 域环境中的权限关系。
1.6K50发布于 2019-05-15 - 来自专栏网络安全技术点滴分享
实战威胁狩猎:利用ELK狩猎终端攻击(数据收集、外泄与破坏)
你还将体验在收集、外泄和影响战术下常用MITRE ATT&CK技术的狩猎过程。本房间的最终目标是教授如何进行威胁狩猎调查,以检测攻击者在系统中的主要目标。学习目标获得应用实践的威胁狩猎调查技能。 理解对手的目的/目标对于成功有效的威胁狩猎实践至关重要。再次强调,在威胁狩猎过程中,熟悉统一杀伤链和MITRE ATT&CK至关重要。因此,对检测到的活动进行分类和分级将变得容易。 主动威胁狩猎心态/方法主动威胁狩猎心态指的是主动追查过程并在范围内寻找潜在的威胁/入侵指标。主动方法的最终目的是在威胁造成重大损害或在系统中未被注意之前识别它们。"未被注意"的部分被称为"驻留时间"。 这就是主动心态/方法提高威胁狩猎过程有效性的地方。主动探索、假设驱动方法、持续监控、利用威胁情报、分析和持续改进是主动心态的关键方面。设计和采用主动威胁狩猎心态可能需要时间。 最后但并非最不重要:有效威胁狩猎的原子提示考虑范围和组织资产所有者(组织)的特征、独特因素、运营行业、特定威胁态势和监管要求始终至关重要。观察上述关键点将帮助你实施定制化和有效的威胁狩猎过程。
13910编辑于 2026-01-08 - 来自专栏信安之路
威胁狩猎系列文章之十到十二
Threat Hunting#10. 重命名或修改 Windows(滥用的)脚本程序绕过系统监控
1.1K30发布于 2019-05-15 - 来自专栏信安之路
威胁狩猎系列文章之四到六
Windows 提供了几种在应用程序之间传输数据的方式。其中一种方法是使用动态数据交换 (DDE,Dynamic Data Exchange) 协议。DDE 协议是一组规则集。它在共享数据的应用程序之间发送消息,并使用共享内存 (Shared Memory) 交换数据。应用可以使用 DDE 协议进行一次性的数据传输,也可以在当有新数据可用时互相推送更新做持续性的数据交换。
1.2K30发布于 2019-05-15 - 来自专栏绿盟科技研究通讯
Provenance Mining:终端溯源数据挖掘与威胁狩猎
为应对高级持续性威胁(AdvancedPersistent Threat,APT)、利益驱动的内部员工威胁,面向主动防御的威胁狩猎(ThreatHunting,TH)方案逐渐得到关注[1]。 本文面向数据驱动威胁狩猎,将针对终端侧行为数据——溯源数据挖掘(ProvenanceMining)与威胁狩猎进行关键概念的介绍与方法总结。 图2 溯源数据图[2] 二、溯源数据威胁狩猎的挑战 溯源数据能够作为威胁狩猎的关键资源,为威胁的识别、评估、关联提供丰富的上下文。不过,仍然没有免费的午餐。 图4 溯源数据挖掘的威胁狩猎方法分类 威胁狩猎的一种假设是,当前网络环境下有未被检测出的已知威胁,例如边界检测设备未覆盖的,或者威胁情报的最新推送等等。 图5 已知威胁模式匹配 威胁狩猎的另一种假设是,行为模式未知的威胁已突破防护边界,潜伏在信息系统内部,需要在溯源数据中识别恶意行为,实现攻击场景的重建。
5K10发布于 2020-04-26 - 来自专栏信安之路
威胁狩猎系列文章之一到三
威胁狩猎#1 寻找 RDP 劫持痕迹 远程桌面是攻击者最喜欢的访问方式之一,因为它允许仅使用鼠标和键盘来发现系统以及相邻主机(更少的足迹,不需要特殊的命令与实用程序)。 change-rdp-port-windows-10/ 原帖链接: https://blog.menasec.net/2019/02/of-rdp-hijacking-part1-remote-desktop.html 威胁狩猎 downloads/psloggedon 原帖链接: https://blog.menasec.net/2019/02/threat-hunting-detecting-psloggedon.html 威胁狩猎
2K30发布于 2019-05-09 - 来自专栏网络安全技术点滴分享
威胁狩猎平台升级:全新认证机制与功能增强
所有互联网用户都应感谢这群威胁狩猎者,他们为网络安全持续做出积极持久的贡献。在Spamhaus的协助下,abuse.ch所有平台即将迎来重大更新,以进一步赋能这一集体。 发展概述本次改进有两个核心目标:一是进一步提升在abuse.ch平台上的威胁狩猎效率,二是提高平台稳定性,确保为共享和利用我们提供的数据带来更可靠的互联网环境。 提升狩猎效率从2025年2月起,认证用户将可使用我们平台的附加功能,包括:新数据集:误报列表 - 提供数据变更差异的可视化。 该列表将覆盖所有平台,可通过GUI、API和CSV导出访问,无需手动检查差异,为狩猎节省更多时间。URLhaus:狩猎功能 - 用户可订阅通知,当URL有效负载发生变化或URL匹配特定模式时接收提醒。 tab=repositories人人为社区,社区为人人abuse.ch近二十年来独立支持威胁狩猎者和安全专家社区,现已壮大至15,000名成员。
17110编辑于 2025-10-25 - 来自专栏红队蓝军
攻防实战下的威胁狩猎 |附完整报告下载
威胁狩猎的三要素 威胁狩猎是指在服务器和终端追踪异常活动,包括数据被窃取、入侵或泄露的迹象。尽管威胁狩猎的概念并不新鲜,但是对于许多组织来说,如何有效执行威胁狩猎依然是个难题。 人员:培养威胁狩猎的文化 组建一个威胁狩猎团队需要考虑团队构成、时间资源、狩猎培训、系统化管理等方面的内容。 (2)时间资源 除非公司拨出一大笔钱来建立独立的威胁狩猎团队,否则只能从现有员工的工作中抽出时间来进行威胁狩猎。 • 提高技能:威胁猎人需要提高自身技能和知识。 技术:采用必要的技术 威胁狩猎是一项人机结合的活动,如果没有合适的工具,威胁狩猎行动将一无所获。 威胁狩猎的必要准备:熟悉所需要的环境 除了结合人员、技术和流程不断改善威胁狩猎之外,开始威胁狩猎的一个前提准备是要尽可能多地了解所在组织机构的环境,这样才能更好地判断什么是正常的,什么是不正常的。
1.4K40编辑于 2022-05-27 - 来自专栏网络安全技术点滴分享
网络安全威胁狩猎:主动防御的终极指南
威胁狩猎实战:网络安全主动防御终极指南引言在网络威胁以闪电速度演变的时代,威胁狩猎已成为主动防御的重要实践。本文基于数据和专家见解,深入探讨定义现代威胁狩猎的方法论、工具和技术。 威胁狩猎的必要性随着网络攻击日益复杂化,传统安全措施已不再足够。组织必须采取主动立场,在威胁造成损害之前检测和缓解威胁。威胁狩猎的核心概念假设驱动调查:威胁狩猎始于基于组织环境特定潜在威胁的假设。 MISP:促进威胁情报共享的平台。案例研究与实际案例案例研究1:金融行业攻击缓解一家领先的金融机构通过实施强大的威胁狩猎计划,成功阻止了高级持续性威胁。 威胁狩猎的未来趋势先进AI与机器学习:未来威胁狩猎将严重依赖AI来预测和应对新兴威胁。零信任架构集成:威胁狩猎将成为零信任策略的关键组成部分,确保持续验证所有用户和设备。 云原生威胁狩猎:随着云采用的增长,威胁狩猎实践将演进以应对云特定挑战。结论威胁狩猎是现代网络安全的关键方面,使组织能够领先于对手。
35010编辑于 2025-10-19 - 来自专栏网络安全观
基于 ATT&CK 的 APT 威胁跟踪和狩猎
我主要从今年上半年重点对 ATT&CK 框架进行研究,并且发现其有助于我对网络威胁攻击和对抗的更全面理解,甚至可以延伸至从数据和检测的视角来看待威胁本身。 下面将进入正文,那么这篇文章会从以下几个维度来介绍 ATT&CK: 从其设计角度剖析 ATT&CK 的框架原理; 从数据视角谈谈如何对 ATT&CK 进行运营; 对 ATT&CK 的战技术以及其在分析狩猎时的应用进行简单介绍 后来,威胁情报来了,威胁情报会告诉威胁分析师或运营人员,攻击来源是谁,其意图和目的是什么,用了什么样的战术、技术和过程,也就是 TTP,并且从威胁情报的角度,恶意载荷 Hash、域名、IP 是容易变更的 结合 ATT&CK 的分析和狩猎 对于威胁分析人员来说,有时候真的和“盲人摸象”和“管中窥豹”的故事比较类似,往往需要通过单一线索关联出更多,并且通过碎片化的证据还原攻击的全貌。 在这里我们也列举了一些有趣的狩猎策略,例如某个欧洲 APT 组织,也被卡巴称为Animal Farm(动物农场),其错误的 User-Agent 拼写也给予我们一些狩猎启发,对于一些数量分布上比较小众的
1.7K10发布于 2021-02-26 - 来自专栏网络安全技术点滴分享
协议级网络威胁狩猎:基于Wireshark的实战指南
执行摘要协议级网络威胁狩猎专注于网络流量中异常模式的深度分析,而非仅关注端点遗留物。 威胁狩猎人员既使用签名匹配(IOC检测)也进行行为分析:例如,识别快速通量DNS(大量应答记录、低TTL值)或DNS隧道(随机、高熵子域名)。 在实践中,分析师会提出假设(例如“恶意软件正通过DNS外泄数据”),然后基于威胁情报对数据包捕获文件或实时流量进行特征查询。
13310编辑于 2026-02-12 网络安全威胁狩猎:终极指南,从理论到实践
威胁狩猎 #现场:网络安全警戒终极指南引言在网络威胁以闪电速度演变的时代,威胁狩猎已成为主动防御的重要实践。本文基于数据和专家见解,深入探讨了定义现代威胁狩猎的方法论、工具和技术。 威胁狩猎的必要性随着网络攻击日益复杂化,传统安全措施已不再足够。组织必须采取主动姿态,在威胁造成损害之前进行检测和缓解。威胁狩猎的关键概念假设驱动调查:威胁狩猎始于基于组织特定环境潜在威胁的假设。 机器学习与人工智能:利用人工智能识别模式并预测潜在威胁。威胁情报整合:利用外部威胁情报源来增强狩猎工作。内存取证:调查易失性内存以发现隐藏的恶意软件和 Rootkit。 威胁狩猎的未来趋势高级人工智能与机器学习:未来的威胁狩猎将严重依赖人工智能来预测和应对新出现的威胁。与零信任架构集成:威胁狩猎将成为零信任战略的关键组成部分,确保对所有用户和设备进行持续验证。 云原生威胁狩猎:随着云采用的增长,威胁狩猎实践将不断发展以应对云特定的挑战。结论威胁狩猎是现代网络安全的关键方面,使组织能够领先于对手。
31710编辑于 2026-01-08协议级网络威胁狩猎:以Wireshark为核心的实战指南
执行摘要协议级的网络威胁狩猎专注于发现网络流量中的异常模式,而非仅仅依赖终端 artifacts。 狩猎人员同时使用签名匹配(IOC)和行为分析:例如,发现快速变更DNS(fast-flux DNS,即包含大量IP答案且TTL值很低)或DNS隧道(随机、高熵的子域名)。 在实践中,分析师会先制定假设(例如,“恶意软件正通过DNS泄露数据”),然后在数据包捕获文件或实时数据流中查询可疑迹象,这一过程通常由威胁情报来指引。
11400编辑于 2026-02-14- 来自专栏FreeBuf
构建一套属于你自己的小型仿真威胁狩猎平台
0x01 前言 本文主要讲述如何在自己本地构建起一套小型威胁狩猎平台,同时你也可以基于该小型威胁狩猎平台来辅助你理解ATT&CK相关技术,并了解蓝队视角下红队攻击技术可能会带来哪些痕迹。 0x03 模拟狩猎 在接下来的例子中我们将会模拟使用Atomic Red Team在Windows server 2016上模拟T1069-002权限组发现。 0x04 最后 通过这篇文章,你可以简单的利用自己的资源部署一套小型仿真威胁狩猎平台,来模拟各种攻击手法,并分析相关特征。同时,也可以辅助你来理解ATT&CK相关技战术手法。 基于这套小型仿真威胁狩猎平台,你还可以做更多的事情,值得你去发掘,比如利用Sysmon、Audit日志等,去做更有意义的事情。
1.4K21发布于 2021-11-16 - 来自专栏红队蓝军
CobaltStrike的狩猎与反狩猎
0x01 前言 又到了xxx的时间了,在对红队基础设施的准备时写下的这篇文章 0x02 开始狩猎 CobaltStrike版本:4.9.1 不做任何配置启动teamserver 使用默认配置的生成x64 ://github.com/hasherezade/process_overwriting)等优秀的作品,真正左右手互博 通过hollows_hunter可以很轻松的检测到一些异常的进程 0x03 反狩猎 whatever) 方法 打乱一下它的结构就行 /arsenal-kit/kits/artifact/src-common/patch.c 也是打乱一下结构 0x04 效果测试 其实到了这一步已经能解决狩猎中的所有检测了
1.2K11编辑于 2024-06-17
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号