从BeaconEye说起,围绕CS内存特征的检测与规避
背景2021年8月BeaconEye项目发布,这是一个基于CobaltStrike内存特征进行检测的威胁狩猎工具。BeaconEye具有优秀的检出率与检测效率,使大多数已有规避技术无效化,在网络安全圈...
Read More《扩展威胁检测与响应(XDR)应用指南》报告发布
随着人工智能技术的快速融入,新一代网络攻击技术使攻击变得更加隐蔽和快速,攻防对抗已从原来的技术之争逐步演变为如今的速度之争,谁能做到更快,谁就能在对抗中占据优势。因此,企...
Read More亚信安全XDR领导者!安全牛《扩展威胁检测与响应(XDR)应用指南》报告正式发布
【亚信安全】-【2021年12月7日】近日,安全牛联合亚信安全等安全厂商,正式发布《扩展威胁检测与响应(XDR)应用指南》报告(以下简称“报告”)。报告就目前XDR技术的技术发展、应用...
Read More利用DoH技术加密传输的DNS隧道流量检测分析
解密分析:利用浏览器同步生成(Pre)-Master-Secret 日志对流量进行解密,第785个数据包的内容如下:可以清晰看到DNS协议流量被封装进HTTP协议,并进一步经过TLS协议加密,形成了HTTPS...
Read MoreXDR正在成为威胁检测的演进方向
Gartner分析师Mark Harris日前表示,网络攻击者已经将攻击重点转移到实现其目标上——从专注于感染文件到感染系统,再到感染整个企业。作为网络安全防御者,及企业安全专业人士,需...
Read MoreCrowdSec:一个功能强大的行为检测引擎
关于CrowdSecCrowdSec是一个功能强大的行为检测引擎,CrowdSec当前处于开放源代码状态,能够通过参与式IPS来分析访客行为,并且能够为用户针对各种攻击提供适应性响应。除此之外,C...
Read More如何使用DNSTake检测可能导致子域名接管的DNS区域
关于DNSTakeDNSTake是一款功能强大的域名安全工具,该工具可以通过检测导致子域名托管的缺少托管的DNS区域。当子域名(subdomain.example.com)或域名将其权威域名服务器设置为提...
Read More如何使用tko-subs通过已失效的DNS记录检测和接管子域名
关于tko-substko-subs是一款功能强大的子域名检测工具,该工具可以利用已失效的DNS记录检测和接管目标子域名。该工具具备以下三个功能。检测一个目标子域名是否能够被接管。...
Read More如何使用keimpx检测网络环境中的有效凭证
关于keimpxkeimpx是一款功能强大的开源工具,该工具可以帮助广大研究人员快速检测网络环境中跟SMB相关的有效凭证。这些凭证可以是下列内容之一:用户/明文密码组合;用户/NTLM哈...
Read More使用机器学习检测PHP Webshell的研究实践
Webshell知多少Webshell是以PHP、ASP、JSP或CGI等网页文件形式存在的一种代码执行环境。在网络攻击过程中,Webshell是一种常用的恶意脚本,攻击者可以利用它在Web服务器上执行...
Read MoreOODA:一个提高检测速度与准确度的战术
本文通过模拟恶意软件使用 Microsoft Sysinternals 工具 PsExec进行横向移动、主机与网络侦察,展示如何使用 OODA循环帮助提高检测速度与准确性。对于没有了解过 OODA 的人...
Read More机器学习检测Cobalt Strike木马初探
前言众所周知,cobalt strike作为一个大杀器,已被各种渗透测试团队和真实攻击团队大范围使用,因其功能完善、配置灵活性高等特点,在满足攻击需要和躲避检测方面都有着不俗的表现...
Read More基于行为检测的挖矿木马检测技术的研究和有效实践
1.挖矿木马入侵和危害在近些年区块链技术的普及和加密货币投资的高额回报背景下,加密货币凭借其去中心化、匿名度高、全世界流通以及免税等特性,已成为当下全球最热门的投资品...
Read More如何使用TypoDetect检测相似域名
关于TypoDetectTypoDetect是一款功能强大的域名检测工具,可以帮助广大蓝队研究人员、安全运维人员和企业安全部门检测跟自己域名相似的主动变异型域名,以防止网络犯罪分子利用...
Read More基于AI的DNS协议 C&C 连接检测
0. 摘要为了防止攻击者利用DNS协议技术进行恶意活动,检测网络流量中的C&C通信,本文详细分析了不同的场景下C&C通信技术原理和特征,并给出了基于多种AI算法从多个维度进行检测的...
Read MoreCharlotte:完全不会被检测到的Shellcode启动器
关于CharlotteCharlotte是一款基于C++实现的Shellcode启动器,并且完全不会被安全解决方案所检测到。工具特性截止至2021年5月13日之前,该工具的检测结果为0/26;该工具支持动态...
Read More如何使用mubeng实现快速代理检测和IP地址轮转
关于mubengmubeng是一款功能强大的代理检查和IP地址轮转工具。该工具具备以下几种功能特性:代理IP轮换:在每次发送请求之后变更你的IP地址。代理检测:检测你的代理IP是否仍然可...
Read More如何使用DNSObserver检测DNS相关的安全漏洞
关于DNSObserverDNSObserver是个功能强大的DNS服务,该工具使用Go语言开发,可以帮助广大研究人员轻松检测各种类型的盲注漏洞。它可以监控渗透测试人员所搭建服务器的带外DNS交...
Read More蓝队的自我修养之如何从流量中检测 WebShell
HW期间,为防范钓鱼,即日起FreeBuf将取消投稿文章的一切外部链接。给您带来的不便,敬请谅解~背景众所周知,攻防演练过程中,攻击队入侵企业网站时,通常要通过各种方式获取 webshell,...
Read More如何使用Gotestwaf测试你的WAF检测能力
关于GotestwafGotestwaf,全称为Go Test WAF,该工具可以使用不同类型的攻击技术和绕过技术来测试你Web应用程序防火墙的检测能力。Gotestwaf是一个基于Go开发的开源项目,它实现...
Read More斗象PRS-NTA&大圣云沙箱全面支持检测冰蝎3.0 Beta7
故事背景最近红蓝军演练时期,各路神仙大表哥各显神通,各种操作让人眼花缭乱。其中,加密流量尤其受红队喜爱,尤其是“冰蝎3.0”。目前市面上大部分解决方案是基于流量进行检测,加...
Read MoreHVV大型攻防演练检测篇
HVV行动作为国家级攻防演练具有重大意义,旨在通过检验单位网络和信息基础设施的安全防护、应急处置和指挥调度能力,提高信息系统的综合防御能力。而要打好一场完美的防守战役...
Read More庖丁解牛:利用视觉相似性做0-day钓鱼网站检测
近期,丁牛网安实验室关注到,在CCS 2020会议上发表了多篇有关网络钓鱼相关的研究文章,这一现象可能预示着网络钓鱼领域中新型攻防技术的出现。为了深入了解当前网络钓鱼攻击的发...
Read More善谋者胜 | HVV大型攻防演练检测篇
HVV行动作为国家级攻防演练具有重大意义,旨在通过检验单位网络和信息基础设施的安全防护、应急处置和指挥调度能力,提高信息系统的综合防御能力。而要打好一场完美的防守战役...
Read More云上威胁检测 | 详解反弹shell多维检测技术
前言反弹是shell攻击者用于控制目标服务器的一种手段,目标服务器主动发出网络连接请求,将服务器命令执行的标准输入、标准输出、标准错误重定向到攻击端,攻击端通过监听来自目...
Read Moretcp异常报文攻击检测
简介TCP报文标志位包括:URGACKPSHRSTSYNFIN攻击者通过发送非法TCP flag组合的报文对主机造成危害。检测异常检查TCP报文的各个标志位URG、ACK、PSH、RST、SYN、FIN,如果标志位...
Read More基于AI的SQL注入检测识别效果专题研究
一、SQL注入原理与检测方法SQL注入攻击是web安全防御所面临的最常见攻击手段。攻击者利用web网站没有细致过滤访问者提交的SQL语句的漏洞,构造特殊的输入参数作为访问请求的...
Read More自己动手编写远控工具及检测思路
PS:本文仅用于技术讨论与交流,严禁用于任何非法用途,违者后果自负在学习攻击渗透的过程中,不免会接触远控工具。远控工具一般包含服务端和客户端,服务端运行在攻击者的VPS主机上,...
Read More基于AI的恶意加密流量检测效果专题研究
经实践验证,基于AI的恶意加密流量检测是一种更有效的方法近年来为了确保通信安全和隐私,超过60%的企业网络流量已被加密。但殊不知,数据流量的加密在无意之间也为网络安全带来...
Read More基于状态检测防火墙原理基础(上)
防火墙发展史简介包过滤防火墙早期防火墙需要对报文逐包过滤,但一般只对包头进行检测,只对三层、四层协议进行过滤,没有上层协议识别的功能(目前大多数攻击发生在应用层,包过滤...
Read More