本报告详细记录了对主机感染 H-worm (VBS蠕虫) 的完整溯源分析过程。
核心结论:
主机在系统安装过程中,通过IT人员使用的、已被感染的 金士顿 (Kingston) DataTraveler 3.0 U盘 引入了病毒。IT人员在安装系统后,运行了U盘中被捆绑病毒的 KMS激活工具 (KMS_X64.EXE) 或 驱动工具 (驱动总裁.TMP, DRVCEO.EXE),导致病毒在后台释放并执行。
钓鱼最简单的方法就是网页复制下来修改后发给受害者窃取账密。
可惜出师未捷身先死~~~
告警报检测到恶意文件,根据告警信息找到了用户。
用户收到电子邮件并且还联系了用户。
拿到文件就以HTML。页面模仿了“某某发票平台”官网的登录模块,包括通过Base64内联编码的Logo图像、底部版权声明及隐私政策链接布局,甚至连页面标题和浏览器图标都指向了真实的官网CDN资源。
如今企业产生的数据量令人震惊。
然而,缺乏有效策略,大部分信息未被充分利用,数据被孤岛化。
这时,数据湖应运而生——一种强大且灵活的现代数据管理解决方案,能够将原始信息转化为有价值的资产。
如果您的组织正在寻找更好的数据处理和分析方法,本指南非常适合您。我们将解析什么是数据湖,它是如何运作的,以及为何不同行业的企业正在采用它。
让我们先从数据湖的基本背景说起。
数据湖是一个集中式存储库,旨在存储大量结构化、半结构化和非结构化数据。与传统系统如数据仓库不同,数据湖不需要在存储数据前预定义模式。
是一个对抗行为知识库。
MITRE ATT&CK提供了一个复杂框架,介绍了攻击者在攻击过程中使用的190多项技术、400多项子技术,其中包括特定技术和通用技术,以及有关知名攻击组织及其攻击活动的背景信息和攻击中所使用的战术、技术。简单来说,MITRE ATT&CK是一个对抗行为知识库。
● 它是基于真实观察数据创建的。
● 它是公开免费、全球可访问的。
攻击指标 (IoA) 是攻击者可能企图破坏系统的预警信号。它将各种数据片段(包括未知属性、IoC 和上下文信息,例如组织风险和情报)构建成潜在威胁的动态实时态势图。IoA 并非为了识别特定的恶意工具,而是通过关注所有攻击者为破坏系统而必须采取的步骤(例如侦察、初始访问、执行)来识别攻击者的战略意图。IoA 对于检测新的、复杂的网络攻击形式(例如无恶意软件入侵和零日攻击)至关重要。
入侵指标 (IoC) 指的是在网络或设备上发现的数据物件,可作为系统疑遭入侵的证据:例如,不属于系统目录的文件或可疑 IP 地址。IoC 是“确凿证据”,即已遭受损害的事后指标。网络安全专业人员利用 IoC 来调查事件造成的影响,并训练他们的工具和技术,以更好地检测和隔离日后可能出现的威胁。
Digital Forensics and Incident Response (DFIR)
数字取证和事件响应 (DFIR) 是网络安全领域的其中一个领域,专注于网络攻击的识别、调查和补救。
1、入侵特点
2、走哪里入侵
3、针对性的排查
主要关注:进程、账号、网络活动、启动项目、日志
检查:询问管理员、通过注册表;nmap扫描(或者询问管理员的资产台账中的端口信息)
namp -p1-65535 -sV IP安全排查步骤
攻击类型定位——>时间范围——>文件分析——>进程分析——>系统分析——>日志分析——>关联分析——>逻辑推理——>事件总结
用户名:密码:用户ID:用户说明:用户家目录:登录的shell
用户名:加密后密码:密码最后修改日期:两次密码修改间隔:密码有效期:密码到期警告天数:密码过期宽限天数:账号失效的时间:
linux搭建一个redis服务,配置未授权和记录redis日志,开启redis服务,并使用未授权攻击行为进行写计划任务;然后进行入侵排查,分析redis日志和攻击行为。
yum install redisUID=0为特权账号
[root@localhost ~]# awk -F: '($3==0)' /etc/passwd
root:x:0:0:root:/root:/bin/bash
[root@localhost ~]# passwd -l XXXXX^C #锁定账户,建议如果存在多个UID为0用户,先锁定再去排查,最后在确定是否删除或解除
[root@localhost ~]# userdel XXXXX^C #删除
[root@localhost ~]# passwd -u XXXXX^ #解除锁定