- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
Powershell与威胁狩猎
PowerShell脚本因其良好的功能特性常用于正常的系统管理和安全配置工作,然而,这些特性被攻击者理解并转化为攻击特性,也就成为了攻击者手中的攻城利器,给企业网络造成威胁。 40961 始终记录,无论记录设置如何 PowerShell控制台正在启动 40962 始终记录,无论记录设置如何 PowerShell控制台已准备好进行用户输入 简单的Powershell威胁狩猎 配置完Powershell审核策略后,我们可以进行一次简单的威胁狩猎来验证一下,通过Powershell模拟执行Get-process获取系统进程信息,然后观察Powershell日志能否记录此次测试行为 那么我们大胆的推测一下,是否可以通过命令行行为监控在网内进行简单有效的威胁狩猎。
3.1K20发布于 2021-05-20 - 来自专栏FreeBuf
浅谈威胁狩猎(Threat Hunting)
威胁狩猎,顾名思义,就是在网络安全的世界中寻找威胁,威胁每天都在变化。因此,开发新技术来防御和检测各种类型的威胁和攻击是我们的责任。 从威胁狩猎的定义开始,通过主动和被动的方式搜寻网络中想逃避安全解决方案的高级威胁的过程。 威胁狩猎不是一种技术,而是一种方法。 作为一名安全分析师,威胁猎捕是以有效地运用我们的只是发现网络环境中的任何异常情况。 威胁猎人使用批判性思维能力和创造力来查看正常得网络行为并能够识别异常的行为。 一、为什么要做威胁狩猎? 威胁狩猎的方法: 人工测试–分析人员需要不断寻找可能是入侵证据/指示的任何事物。 对于威胁猎人而言,保持最新的安全研究非常重要。 为了检验假设,您可以使用任何可用的工具,例如Splunk,ELK Stack等,但是在开始猎捕之前,请妥善保管数据。Florian Roth为SIEM签名提出了一种新的通用格式– SIGMA。
3.5K20发布于 2019-11-28 威胁狩猎精准配置指南
概述(Overview)Sysmon(SystemMonitor)是WindowsSysinternals套件中的一款核心工具。 与标准的Windows事件日志相比,Sysmon提供了更详细、高质量的日志信息和更精细的配置控制,是进行深度威胁狩猎和应急响应的基石。#####什么是Sysmon? #####关键事件ID详解(KeyEventIDsExplained)Sysmon包含超过29种事件ID,以下是一些在威胁狩猎中最常用的事件ID。 endwith">.microsoft.com</QueryName></DnsQuery></RuleGroup>2.安装与使用(InstallationandUsage)#####安装Sysmon下载工具 4.威胁狩猎实战(PracticalThreatHunting)#####追踪Metasploit假设:Metasploit的meterpretershell通常使用默认端口(如4444,5555)进行
24110编辑于 2026-01-08- 来自专栏先矛后盾
威胁狩猎第一步
一、前言 尽管自动化安全工具以及第一层和第二层安全运营中心 (SOC) 分析师应该能够处理大约 80% 的威胁,但我们仍需对余下的20%保持高度的警惕。 这部分未被充分覆盖的威胁中,往往隐藏着更为复杂且可能带来重大损失的潜在风险。 网络威胁狩猎为企业安全带来人为元素,补充了自动化系统的不足。 凭借丰富的人为经验能够在威胁可能导致严重问题之前发现、记录、监控并消除威胁。 二、简单的ssh异常登陆检测 假设我们要构建一个最常见的异常检测场景:从海量的SSH连接日志中筛选出异常连接。
14900编辑于 2025-01-09 - 来自专栏FreeBuf
DOMAINTOOLS:2020年度威胁狩猎报告
越来越多的组织将威胁狩猎作为安全运营的一部分,主动地狩猎威胁可以降低威胁的风险和影响,提高抵御新威胁的能力。 威胁狩猎目标 超过一半(51%)的组织应用威胁狩猎主要为了减少内部威胁的暴露,其次45%的组织是为了减少恶意感染与数据泄露事件发生的次数,而43%的组织为了减少攻击面。 ? 另外有 37% 的人表示对现有自动化威胁狩猎工具缺乏信心,36% 的人表示现在有太多精力浪费在了误报上。 ? 带来的好处 威胁狩猎平台为安全分析人员提供了能够更早检测威胁、缩短处置时间、改进未来攻击防御的强大工具。68% 的组织认为威胁狩猎提高了对高级威胁的检测,55% 的组织认为减少了分析调查的时间。 对待态度 尽管威胁狩猎仍然是新兴的门类,但绝多数组织(88%)都强烈同意“威胁狩猎应该是顶级安全方案”。 ?
1.6K10发布于 2021-05-20 - 来自专栏信安之路
威胁狩猎系列文章之七到九
BloodHound 可以帮助攻击者更简单地分析域环境情况,确定攻击路线,完成域内横向移动和权限提升。防御者也可以使用 BloodHound 去识别和清理这些容易被攻击者利用的攻击路线。红队和蓝队都可以借助 BloodHound 更轻松地深入了解 AD 域环境中的权限关系。
1.6K50发布于 2019-05-15 - 来自专栏信安之路
威胁狩猎系列文章之四到六
微软的 Net.exe 工具可以被用来枚举本地和域用户/组(任何攻击者都会通过这种手段收集信息以达成目标)。 注意:这种方法也能检测到使用其他其他工具进行的用户枚举行为。 检测逻辑: 寻找事件 4661 中信息主体含有已知的活动目录高权限用户/组的 SID 值。 可以使用活动目录管理工具或 dsadd 命令工具( net.exe 仅限于用户账号使用 ) 创建一个真实的计算机账号。 使用 net.exe 工具创建的名为 HMIDA$ 的用户账号(使得该账号看起来像计算机账号)的事件 4720”一个用户账号被创建 ”(“a user account was created”): ?
1.2K30发布于 2019-05-15 - 来自专栏信安之路
威胁狩猎系列文章之十到十二
Threat Hunting#10. 重命名或修改 Windows(滥用的)脚本程序绕过系统监控
1.1K30发布于 2019-05-15 - 来自专栏绿盟科技研究通讯
Provenance Mining:终端溯源数据挖掘与威胁狩猎
为应对高级持续性威胁(AdvancedPersistent Threat,APT)、利益驱动的内部员工威胁,面向主动防御的威胁狩猎(ThreatHunting,TH)方案逐渐得到关注[1]。 图1 威胁狩猎典型范式 当前相对成熟的安全管理工具已集成大规模的、多源的数据,包括网络侧、样本侧、终端侧、身份侧等维度,这给威胁的数据分析提供了宝贵的资源。 本文面向数据驱动威胁狩猎,将针对终端侧行为数据——溯源数据挖掘(ProvenanceMining)与威胁狩猎进行关键概念的介绍与方法总结。 图2 溯源数据图[2] 二、溯源数据威胁狩猎的挑战 溯源数据能够作为威胁狩猎的关键资源,为威胁的识别、评估、关联提供丰富的上下文。不过,仍然没有免费的午餐。 图4 溯源数据挖掘的威胁狩猎方法分类 威胁狩猎的一种假设是,当前网络环境下有未被检测出的已知威胁,例如边界检测设备未覆盖的,或者威胁情报的最新推送等等。
5K10发布于 2020-04-26 - 来自专栏网络安全技术点滴分享
实战威胁狩猎:利用ELK狩猎终端攻击(数据收集、外泄与破坏)
你还将体验在收集、外泄和影响战术下常用MITRE ATT&CK技术的狩猎过程。本房间的最终目标是教授如何进行威胁狩猎调查,以检测攻击者在系统中的主要目标。学习目标获得应用实践的威胁狩猎调查技能。 主动威胁狩猎心态/方法主动威胁狩猎心态指的是主动追查过程并在范围内寻找潜在的威胁/入侵指标。主动方法的最终目的是在威胁造成重大损害或在系统中未被注意之前识别它们。"未被注意"的部分被称为"驻留时间"。 这就是主动心态/方法提高威胁狩猎过程有效性的地方。主动探索、假设驱动方法、持续监控、利用威胁情报、分析和持续改进是主动心态的关键方面。设计和采用主动威胁狩猎心态可能需要时间。 大多数现代安全工具可以检测键盘记录器模式,但手动狩猎恶意模式的能力是在威胁狩猎战场上生存的关键。请注意,实现键盘记录器和检测它的方法有多种。 与之前的狩猎不同,没有预先的下载外泄脚本的指示器。很可能是由攻击者创建的,或者通过不同的技术植入的。这是通过系统原生工具在未加密通道上狩猎数据外泄的最简单方法。
14910编辑于 2026-01-08 - 来自专栏信安之路
威胁狩猎系列文章之一到三
威胁狩猎#1 寻找 RDP 劫持痕迹 远程桌面是攻击者最喜欢的访问方式之一,因为它允许仅使用鼠标和键盘来发现系统以及相邻主机(更少的足迹,不需要特殊的命令与实用程序)。 change-rdp-port-windows-10/ 原帖链接: https://blog.menasec.net/2019/02/of-rdp-hijacking-part1-remote-desktop.html 威胁狩猎 PsLoggedOn 被黑客用来对用户会话执行正确且有针对性的内部侦察(相比其他内部AD侦察工具更加隐蔽),并且针对其中有趣的会话。 downloads/psloggedon 原帖链接: https://blog.menasec.net/2019/02/threat-hunting-detecting-psloggedon.html 威胁狩猎 PsExec 最强大的用途包括在远程系统上启动交互式命令提示和 IpConfig 等远程启用工具(查看原本无法获取的有关远程系统的信息)。
2K30发布于 2019-05-09 - 来自专栏网络安全技术点滴分享
威胁狩猎平台升级:全新认证机制与功能增强
所有互联网用户都应感谢这群威胁狩猎者,他们为网络安全持续做出积极持久的贡献。在Spamhaus的协助下,abuse.ch所有平台即将迎来重大更新,以进一步赋能这一集体。 发展概述本次改进有两个核心目标:一是进一步提升在abuse.ch平台上的威胁狩猎效率,二是提高平台稳定性,确保为共享和利用我们提供的数据带来更可靠的互联网环境。 提升狩猎效率从2025年2月起,认证用户将可使用我们平台的附加功能,包括:新数据集:误报列表 - 提供数据变更差异的可视化。 该列表将覆盖所有平台,可通过GUI、API和CSV导出访问,无需手动检查差异,为狩猎节省更多时间。URLhaus:狩猎功能 - 用户可订阅通知,当URL有效负载发生变化或URL匹配特定模式时接收提醒。 tab=repositories人人为社区,社区为人人abuse.ch近二十年来独立支持威胁狩猎者和安全专家社区,现已壮大至15,000名成员。
21310编辑于 2025-10-25 - 来自专栏网络安全技术点滴分享
协议级网络威胁狩猎:基于Wireshark的实战指南
执行摘要协议级网络威胁狩猎专注于网络流量中异常模式的深度分析,而非仅关注端点遗留物。 威胁狩猎人员既使用签名匹配(IOC检测)也进行行为分析:例如,识别快速通量DNS(大量应答记录、低TTL值)或DNS隧道(随机、高熵子域名)。 在实践中,分析师会提出假设(例如“恶意软件正通过DNS外泄数据”),然后基于威胁情报对数据包捕获文件或实时流量进行特征查询。
13510编辑于 2026-02-12 - 来自专栏网络安全观
基于 ATT&CK 的 APT 威胁跟踪和狩猎
下面将进入正文,那么这篇文章会从以下几个维度来介绍 ATT&CK: 从其设计角度剖析 ATT&CK 的框架原理; 从数据视角谈谈如何对 ATT&CK 进行运营; 对 ATT&CK 的战技术以及其在分析狩猎时的应用进行简单介绍 后来,威胁情报来了,威胁情报会告诉威胁分析师或运营人员,攻击来源是谁,其意图和目的是什么,用了什么样的战术、技术和过程,也就是 TTP,并且从威胁情报的角度,恶意载荷 Hash、域名、IP 是容易变更的 、工具进行映射,以及提出了一些用于缓解和检测的方式。 结合 ATT&CK 的分析和狩猎 对于威胁分析人员来说,有时候真的和“盲人摸象”和“管中窥豹”的故事比较类似,往往需要通过单一线索关联出更多,并且通过碎片化的证据还原攻击的全貌。 在这里我们也列举了一些有趣的狩猎策略,例如某个欧洲 APT 组织,也被卡巴称为Animal Farm(动物农场),其错误的 User-Agent 拼写也给予我们一些狩猎启发,对于一些数量分布上比较小众的
1.7K10发布于 2021-02-26 - 来自专栏红队蓝军
攻防实战下的威胁狩猎 |附完整报告下载
• 应用行为:威胁猎人要了解终端上使用的本地应用程序功能。 • 威胁狩猎工具:了解如何使用手中的工具,才能有效地追捕攻击者。 • 事件响应流程:在发现入侵迹象后采取步骤,抓住猎物之后该做什么。 • 改进狩猎工具、练习技能:在某种程度上,需要建立一个知识库,这样每个新的威胁猎人都可以站在其他前辈的肩膀上成长。 •改进响应:提供包括更快、更准确的事件响应行动,包括控制和修复。 • 提高技能:威胁猎人需要提高自身技能和知识。 技术:采用必要的技术 威胁狩猎是一项人机结合的活动,如果没有合适的工具,威胁狩猎行动将一无所获。 (3)收集威胁情报 威胁情报信息会告知威胁猎人攻击者针对其它组织机构所采用最新攻击工具和技术,以及相关的域和IP范围。 (4)数据关联和分析工具 由于威胁和事件数据来自许多不同的地方,威胁猎人需要能够执行事件关联分析工具,辅助其理解环境中发生的事情,例如SIEM工具。
1.4K40编辑于 2022-05-27 - 来自专栏网络安全技术点滴分享
网络安全威胁狩猎:主动防御的终极指南
威胁狩猎实战:网络安全主动防御终极指南引言在网络威胁以闪电速度演变的时代,威胁狩猎已成为主动防御的重要实践。本文基于数据和专家见解,深入探讨定义现代威胁狩猎的方法论、工具和技术。 威胁狩猎的必要性随着网络攻击日益复杂化,传统安全措施已不再足够。组织必须采取主动立场,在威胁造成损害之前检测和缓解威胁。威胁狩猎的核心概念假设驱动调查:威胁狩猎始于基于组织环境特定潜在威胁的假设。 Sysinternals Suite:Windows系统诊断的基本工具。MISP:促进威胁情报共享的平台。 云原生威胁狩猎:随着云采用的增长,威胁狩猎实践将演进以应对云特定挑战。结论威胁狩猎是现代网络安全的关键方面,使组织能够领先于对手。 通过利用先进工具、方法论和持续学习,威胁猎人可以保护数字资产免受不断演变的威胁环境的影响。
35610编辑于 2025-10-19 网络安全威胁狩猎:终极指南,从理论到实践
威胁狩猎 #现场:网络安全警戒终极指南引言在网络威胁以闪电速度演变的时代,威胁狩猎已成为主动防御的重要实践。本文基于数据和专家见解,深入探讨了定义现代威胁狩猎的方法论、工具和技术。 威胁狩猎的必要性随着网络攻击日益复杂化,传统安全措施已不再足够。组织必须采取主动姿态,在威胁造成损害之前进行检测和缓解。威胁狩猎的关键概念假设驱动调查:威胁狩猎始于基于组织特定环境潜在威胁的假设。 Sysinternals 套件:Windows 系统诊断的基本工具。MISP:促进威胁情报共享的平台。 云原生威胁狩猎:随着云采用的增长,威胁狩猎实践将不断发展以应对云特定的挑战。结论威胁狩猎是现代网络安全的关键方面,使组织能够领先于对手。 通过利用先进的工具、方法论和持续学习,威胁猎人可以保护数字资产免受不断演变的威胁环境的侵害。资料来源IBM X-Force 威胁情报指数 2023:关于全球网络威胁和趋势的综合数据。
33710编辑于 2026-01-08协议级网络威胁狩猎:以Wireshark为核心的实战指南
执行摘要协议级的网络威胁狩猎专注于发现网络流量中的异常模式,而非仅仅依赖终端 artifacts。 狩猎人员同时使用签名匹配(IOC)和行为分析:例如,发现快速变更DNS(fast-flux DNS,即包含大量IP答案且TTL值很低)或DNS隧道(随机、高熵的子域名)。 在实践中,分析师会先制定假设(例如,“恶意软件正通过DNS泄露数据”),然后在数据包捕获文件或实时数据流中查询可疑迹象,这一过程通常由威胁情报来指引。
11700编辑于 2026-02-14- 来自专栏FreeBuf
构建一套属于你自己的小型仿真威胁狩猎平台
0x01 前言 本文主要讲述如何在自己本地构建起一套小型威胁狩猎平台,同时你也可以基于该小型威胁狩猎平台来辅助你理解ATT&CK相关技术,并了解蓝队视角下红队攻击技术可能会带来哪些痕迹。 部署Splunk日志转发工具,转发Windows event_log和Sysmon_log至Soc平台; 2、部署Ubuntu18.04,并安装Splunk Free,作为Soc平台,收集域内主机日志, 0x03 模拟狩猎 在接下来的例子中我们将会模拟使用Atomic Red Team在Windows server 2016上模拟T1069-002权限组发现。 0x04 最后 通过这篇文章,你可以简单的利用自己的资源部署一套小型仿真威胁狩猎平台,来模拟各种攻击手法,并分析相关特征。同时,也可以辅助你来理解ATT&CK相关技战术手法。 基于这套小型仿真威胁狩猎平台,你还可以做更多的事情,值得你去发掘,比如利用Sysmon、Audit日志等,去做更有意义的事情。
1.4K21发布于 2021-11-16 - 来自专栏红蓝对抗
CobaltStrike的狩猎与反狩猎
原文首发在:先知社区 https://xz.aliyun.com/t/14798 0x01 前言 又到了xxx的时间了,在对红队基础设施的准备时写下的这篇文章 0x02 开始狩猎 CobaltStrike Hunt-Sleeping-Beacons可以检测出异常的进程,但是我在实际测试中发现无法对x86进程进行检测 0x023 Yara Yara是一个旨在(但不限于)帮助恶意软件研究人员识别和分类恶意软件样本工具 在我看来是一位顶尖的安全研究员,开源了pe_to_shellcode、process_overwriting等优秀的作品,真正左右手互博 通过hollows_hunter可以很轻松的检测到一些异常的进程 0x03 反狩猎 whatever) 方法 打乱一下它的结构就行 /arsenal-kit/kits/artifact/src-common/patch.c 也是打乱一下结构 0x04 效果测试 其实到了这一步已经能解决狩猎中的所有检测了
53410编辑于 2024-06-17
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号