OpenVPN 恶意DNS告警反查 VPN 客户端
最近在处理MSS安全告警的时候遇到的问题:部署了 OpenVPN 的服务器上,HIDS 检测到了恶意域名的 D阅读更多
Zgao's blog
基于ESXI部署防溯源的攻击环境
最近这几年攻防对抗愈演愈烈,攻击队被溯源反制的案例也越来越多。我本身从事应急响应,想站在蓝队的视角,基于ESX阅读更多
从应急响应视角看 MITRE ATT&CK 框架
自计算机系统出现以来,网络攻击者一直利用当时可用的各种攻击向量对系统实施入侵。在早期,由于数字环境规模小、结构阅读更多
SIEM 入门:从应急响应视角全面解析
做过应急响应或者安全运营的人基本都需要了解 SIEM 到底是什么,真正有用吗?答案是:很有用,但前提是你得真正阅读更多
SOAR 基础:从规划到落地
SOAR,全称 Security Orchestration, Automation and Response阅读更多
云上应急响应理论基础
在应急响应和取证工作中,我们越来越频繁地面对一个现实:大量关键业务和数据已经不在传统机房,而是在云上运行。理解阅读更多
反弹Shell执行pty泄露黑客命令记录?
做过渗透的小伙伴对这个命令都不会陌生,通常利用web漏洞进行反弹shell后,都会执行python的pty.s阅读更多
一次情报更新引发的DNSLOG告警排查
最近MSS运营中收到一条主机安全的告警,某客户的机器触发DNSLOG告警。但是这台机器本身也不提供服务,也没有阅读更多
当C2藏在CDN后面:域前置在真实入侵中的应急响应思路
在应急排查现场,大家最怕的一类情况不是“清晰的恶意域名或 IP”,而是那种表面看起来一切正常的 HTTPS 流阅读更多
密码保护:某黑产组织使用Ccprotect驱动保护隐藏IIS恶意dll排查分析
无法提供摘要。这是一篇受保护的文章。
从应急响应视角理解威胁狩猎
在真实的安全运营场景中,我们往往是在“事情已经发生之后”才介入:告警触发、业务异常、用户反馈异常登录……随后启阅读更多
USB应急响应取证排查
在实际的应急响应和安全事件调查中,USB 几乎永远是一个“被低估的风险点”。USB 不需要复杂的攻击链,也不依阅读更多
内网横移中的RDP威胁狩猎
在大量真实入侵事件中,远程桌面协议(RDP)几乎已经成为攻击者进行横向移动的“标配工具”。这个最初由微软设计、阅读更多
IDA Pro 9.1破解版一键下载安装
收集整理了互联网上IDA Pro 9.1多个平台的破解版本,为方便使用整理成了一键安装脚本。 安装截图 下载对阅读更多
密码保护:内网gitlab代码仓库离奇删库事件溯源
无法提供摘要。这是一篇受保护的文章。
为正在运行中docker容器动态添加端口映射
通常在docker run 时可能会忘记添加必要的端口映射,但是在运行成功后,想要添加新的端口映射。网上给出的阅读更多
压缩包数据清洗最佳实践
常用的压缩包格式有zip,rar,7z这三类。一开始在处理这些压缩包时,采用的思路是直接用python封装的第阅读更多
Zerotier + Openwrt异地组网高阶配置
和朋友一起协同开发,需要打通双方的局域网互访,所以考虑到vpn的场景。一开始考虑frp+openvpn的实现。阅读更多
0889挖矿团伙rootkit后门溯源排查记录
近期发现某国内的黑客团伙用0889.org作为恶意样本地址和通信域名,后面简称0889组织。最近一次排查某云上阅读更多
密码保护:某APT组织溯源记录
无法提供摘要。这是一篇受保护的文章。
愿有一日,安全圈的师傅们都能用上Zgao写的工具。
URL