记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

RSA2017全面解读-安全厂家之威胁情报

RSA2016厂商安全领域分布:RSA2017厂商安全领域分布:威胁情报定义 对于威胁情报的定义暂时还没有一个定论,这里引用一下CIA对于情报的定义——–情报是我们所处世界中的知识和预判。美国政策制定者决策和行动的先导。情报机构将这种信息以某种方式提供给消费者、国民领导或军队指挥官,以便让他们去思考可替换的选项和结果。在信息安全工业内,关于数字威胁的情报就是我们这里的讨论的威胁情报。对于业界内的定义,我们引用一段2015年《Definitive Guide to Cyber Threat Intelligence》书中对威胁情报所下的定义:“对敌方的情报,及其动机、企图和方法进行收集、分析和传播,帮助各个层面的安全和业务成员保
发布时间:2017-05-14 05:00 | 阅读:87270 | 评论:0 | 标签:安全威胁情报 安全 安全情报

关于网络威胁情报的几个基本概念

当前,网络空间的广度和深度不断拓展、安全对抗日趋激烈,传统的安全思维模式和安全技术已经无法有效满足政企客户安全防护的需要,新的安全理念、新的安全技术不断涌现,当前的网络安全正处在一个转型升级的上升期。目前,信息安全业界普遍认同的一个理念是:仅仅防御是不够的,更加需要持续地检测与响应。而要做到更有效的检测与更快速的响应,安全情报必不可少。安全情报是一个宽泛的概念,主要包括了威胁情报、漏洞情报、事件情报以及基础数据情报。其中,威胁情报已然成为近几年国内外安全领域的热点。在进一步阐释威胁情报之前,必须先明确地指出,严格意义上,威胁情报和漏洞情报是不同的两种安全情报,不应该将它们混淆。从防御者的角度来看,获取漏洞情报是为了知己,而获取威胁情报是为了知彼。Gartner认为,威胁情
发布时间:2016-10-28 06:05 | 阅读:83844 | 评论:0 | 标签:安全威胁情报

改进WHOIS流关联分析的方法

 本文节选自笔者在NSC2016中国网络安全大会上《人工智能辅助威胁情报生产的三个实例》演讲,为其中第二个实例的内容。  Whois流,指将Whois域名注册数据、PassiveDNS解析数据、IP、邮箱、和各类地址等信息用于挖掘恶意组织的方法。Whois流这两年出镜率愈发高涨,每篇公开发表的分析报告里都会出现,国际国内会议的幻灯片内也随处可见耳熟能详的网状关系图。俨然Whois流已成为当今最主要的方法之一,也是威胁情报服务平台的标准配置。但是,辛辛苦苦积累了十年域名注册数据和变迁历史,只要黑客组织在注册新域名时使用了隐私保护,分析者就无法获得有效信息,那么关联分析也无从谈起。庞大的历史数据,在缺少第一环的情况下,突然变得对分析师的溯源分析工
发布时间:2016-07-01 21:50 | 阅读:80924 | 评论:0 | 标签:安全威胁情报 安全技术

烽火台威胁情报feed说明:“行为”字段的含义

[‘malware’]:恶意行为是威胁情报feed里的一个关键字段,主要描述ip|dns|url|email的恶意行为。下面对可能出现的恶意行为字段进行含义总结。1  ip-feed字段编号可能出现的值描述备注1bot僵尸程序“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码2botnet僵尸网络僵尸网络是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击3exploit漏洞利用进行过漏洞利用通常也会伴随恶意软件传播行为4feodo木马程序feodo是一种木马程序主要用于实施电子银行欺诈和窃取受害者电脑的敏感信息5hijacked劫持劫持行为6malware恶意软件对计算机有恶意行为的软件总称7palevo蠕虫特制通过即时通讯,P2P网
发布时间:2016-05-24 12:55 | 阅读:101641 | 评论:0 | 标签:安全威胁情报

如何选择威胁情报厂商(含推荐清单)

2015年威胁情报厂商如雨后春笋发展起来。作为企业应该如何选择?2015年11月Forrester发表了一份《Vendor Landscape: S&R Pros Turn To Cyberthreat Intelligence Providers For Help》报告,是Forrester对20家情报厂商调查研究,得出的威胁情报供应商的考察和推荐报告。甲方请对号入座选择适合自己的一款。乙方也可参考参考往哪个方面发力。 考察标准 考察这些情报供应商一个很重要的环节是,他们如何收集、分析和生成情报,以支撑情报的生命周期 开源情报 技术情报 人员情报 分析环节 在分析环节的考察,大致可归纳为两个方面 自动化分析配合有限的人力分析支持 几乎所有的情报厂商都会用自动化的来完成他们的收集、处理和分析工
发布时间:2016-01-15 12:50 | 阅读:141695 | 评论:0 | 标签:安全威胁情报

沙龙胶片分享:关于安全的一些“小”趋势(19P)

胶片是9月份一个沙龙上讲的。 内容称不上大趋势,就是一个纯技术视角下的一些技术动态及其可能带来的一些东西。 ———————————————— 下面我尽量为每页胶片配一些文字,不能面面俱到,只罗列一些核心思路。 ————————————————​ 分为三个部分: 第一,可能出现的两朵云;第二:黑客
发布时间:2016-01-06 16:30 | 阅读:120938 | 评论:0 | 标签:安全威胁情报

烽火台“安全威胁情报”联盟研讨会PPT分享

烽火台安全威胁情报联盟旨在以安全威胁情报为核心,打造平等互惠的新生态圈模式,共谋共策,推进威胁情报的标准制定及应用推广。 守望者实验室参加会议,并进行了演讲《线索、挖掘、预警、预防—从Webshell事件处理谈威胁情报》。直接上ppt。
发布时间:2016-01-06 01:20 | 阅读:144329 | 评论:0 | 标签:安全威胁情报

木马情报分析之:njRAT&H-worm

概要   狼烟情报室是烽火台安全威胁情报联盟成员共同成立的威胁情报联合实验室。   狼烟情报室的研究人员对国外一系列“著名”的木马活动进行了跟踪调查,本报告从威胁情报的角度针对njRAT&H-worm进行分析。   njRAT使用微软.NET框架开发,因其广泛流传的在线支持和教程,成为了最成功的网络犯罪工具之一。H-worm借鉴了njRAT的开源代码,服务端为使用VBS脚本编写,适用于Windows全系操作系统并且使用了比较先进的User-Agent传递数据的方式,具有开启U盘感染的功能。   H-worm是一个VBS脚本编写的病毒,使用了比较先进的User-Agent传递数据的方式,为网
发布时间:2015-12-08 05:40 | 阅读:184913 | 评论:0 | 标签:安全威胁情报 威胁情报

内部威胁杀伤链

  在Google搜索杀伤链(kill chain)的时候无意搜到dtexsystems公司有一篇介绍内部威胁5步杀伤链(insider threat kill chain)的文章。内部威胁和外部威胁不管从过程还是IOC都有很大不同,感觉还是值得参考。这里简单介绍一下此方法论。 和杀伤链一样,内部威胁杀伤链也分成多个阶段:侦察、规避、打包、混淆、泄漏。外部入侵者如果冒充内部人员身份在内网巡游,也应该适用此方法论。可以认为这是kill chain在command&control和actions on target阶段的细化。 第1步:侦察 当他们打算内部攻击时,用户开始寻找窃取的文件和数据。这阶段要逮住入该用户的关键是要留意谁访问了不寻常的位置或运行不正常应用程序。通
发布时间:2015-12-06 23:30 | 阅读:88786 | 评论:0 | 标签:安全威胁情报 内部威胁 杀伤链

Webshell系列(5)- webshell之“看见”的能力分析

一 Webshell的典型攻击序列图 下图是一个典型的webshell的攻击序列图,利用web的漏洞,获取web权限,上传小马,安装大马,然后远程调用webshell,执行各种命令,以达到获取数据等恶意目的。 二 从kill chain来分析各阶段“看见”能力 从kill chain来看,靠采集系统自身的流量的技术手段,在前两个阶段Reconnaissance、Weaponise这两个阶段是很难看到行为。(结合威胁情报可以更大范围的看到这两个阶段的信息),基于流量的payload分析技术可以在Delivery、Exploit、Installation、Command &Control (C2)、Action这几个阶段都能看到攻击行为。
发布时间:2015-11-27 13:15 | 阅读:105835 | 评论:0 | 标签:安全威胁情报 安全技术 安全方案

Webshell安全检测篇(4)-基于流量的Webshell分析样例

一 “大马”典型操作     经过前面多篇文章的全面介绍想必大家对如何检测Webshell都有了一定的认识,今天我们一起探讨一下如何从网络流量中去实际的检测和发现Webshell的。 我们知道“大马”的目的就是为了提权以及控制。常见的“大马”一般都是功能较多结构也较为复杂的,“单一文件实现众多功能”是“大马”的设计目的之一,一方面大在功能,另一方面大在体积。在形形色色的“大马”中不难总结其中典型的功能。 文件操作:上传、下载、编辑、删除; 数据库操作:连接数据库、脱库、插入数据; 命令执行:提交自定义命令、“大马”预制命令。    &nbs
发布时间:2015-11-24 09:50 | 阅读:92181 | 评论:0 | 标签:安全威胁情报 安全工具 安全方案

Webshell安全检测篇(3)-基于行为分析来发现“未知的Webshell”

一  “已知”or “未知” 已知的已知,已知的未知,未知的未知,这个最近安全行业也谈的比较多,目前圈内热炒的“威胁情报”,其实应该属于“已知的未知”,对本地来说是未知威胁,其实是别的地方已经发生过的威胁。真正的“未知的未知”怎么办,虽然从没发生过的威胁首次在我们身上发生的概率很小很小,但是目前好多攻击都是窃取管理员的身份或者合法用户身份去做一些貌似合法的操作,这些内部发生的“异常 ”行为,没有外部的“威胁情报”等数据可对比。 加密会逐步成为网络流量的常态,基于“协议异常或行为异常”将成为无法解读内容情景下安全威胁检测的重要手段。 基于“内容”检测和基于“行为”检测互补来发现威胁。异常不一定是威胁,但一般来说威胁一定首先是异常。下图也表达了基于白名单的异常行为
发布时间:2015-11-20 00:15 | 阅读:126053 | 评论:0 | 标签:安全产品 安全即服务 安全威胁情报 安全技术

Webshell安全检测篇(2)-深入用户的内心

前篇:http://www.sec-un.org/webshell-security-testing-1-based-traffic-detection.html 一、WEBSHELL是什么?意味着什么?   不同人的视角里,Webshell是什么? 程序员:一个可以执行的web脚本文件。意味着:就是个脚本。 黑客:一个可以拿来控制网站的东西。意味:网站已经搞定,尽量隐藏自己的身份别被发现,同时可以进行后续的破坏行为。 用户(站长): 发现了Webshell,麻烦来了,认真的管理员都会想到很多很多的问题。网站有漏洞,已经被别人攻击了。我该怎么办? 二、Webshell检测工具和产品(系统)的区别在哪? &n
发布时间:2015-11-09 12:30 | 阅读:97919 | 评论:0 | 标签:安全威胁情报 安全技术 安全方案

一个关于杀伤链与反杀伤链的PPT(未完待续,持续更新)

自己写的一个关于杀伤链与反杀伤链的PPT,还没写完,后续会持续更新。里面的想法大多是借鉴了将军、DJ等大拿平常在群里讨论的东西,也有我自己对洛-马杀伤链和反杀伤链的一些理解。先赞一下威胁情报联盟和SEC-UN群。 如果有觉得不对的,微信或邮件告诉我,欢迎帮我纠正。 未完待续,持续更新。
发布时间:2015-11-09 12:30 | 阅读:421259 | 评论:0 | 标签:安全威胁情报 反杀伤链 威胁情报 杀伤链

布式前置机器学习在威胁情报中的应用

在ISC 2015威胁情报分论坛中使用的幻灯片。内容有点超前,目标受众群很小。以业务和风险为导向,总感觉行业内总是讲得不够。受演讲时间所限,后半部分没有展开。没有讲解,字面背后的内容恐怕要自己揣摩。关于恶意域名和DGA等内容,可参照之前分享的在阿里安全峰会上使用的幻灯片,有很多详细实例。
发布时间:2015-10-01 01:05 | 阅读:111859 | 评论:0 | 标签:安全威胁情报 安全治理

杂谈威胁情报:说说观测问题

  【1】引子   南城的人听北城的朋友说,雨从北边来,南城的朋友抬头感受着来自北面的清风,考虑着,出门要不要带把伞呢?   【2】预测不靠谱   威胁情报本身没有预测的意义在其中,它只强调观测和专家式的推理 ,至少我是这么理解的。 而态势感知才是在进行着整个人类都难以颠覆的一个事实 —— 尝试去预测。   为什么说预测是难以颠覆的事实?因为一直到前几天我才知道,其实气象台对暴雨的预测准确率只有20% 。 天气预报作为一项全世界人类最大的逆天预测活动,在持续了一个多世纪之后就是这种结果。说实话,一时间我还真有点接受不了,这个事实都快逼得我去信上帝了。 而现
发布时间:2015-09-26 01:25 | 阅读:69404 | 评论:0 | 标签:安全威胁情报

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云