第六课 入侵分析是威胁情报的主要来源（三） 钻石模型Sergio Caltagirone、Andrew endergast 和 Christopher Betz 多年前在情报界提出了钻石模型的概念。以下所有内容都基于那篇论文“The Diamo... 2023-5-21 19:8:49 | 阅读: 18 | 收藏 | Desync InfoSec 攻击 攻击者 数据 入侵

第六课 入侵分析是威胁情报的主要来源（二） 书接上回01渗透（Exploitation）渗透阶段往往是最受人关注的阶段，攻击者在这个阶段可能会使用大量漏洞利用技术。【此时防守方发出f**k 0day的感叹】。毫无疑问，挖掘0day进行入侵是最性... 2023-5-20 11:2:59 | 阅读: 12 | 收藏 | Desync InfoSec 攻击 攻击者 数据 失陷 c2

第六课 入侵分析是威胁情报的主要来源（一） 概述终于进入到了第二部分，入侵分析是这个部分的重点。而开篇就是洛特希德公司的杀伤链。虽然杀伤链相比ATT&CK模型已经有些年头了，我们这里学习的重点并非是杀伤链本身，而是在杀伤链的每个阶段提取攻击组织... 2023-5-19 11:1:41 | 阅读: 11 | 收藏 | Desync InfoSec 攻击 入侵 网络 攻击者

【DFIR报告翻译】Cobalt Strike 防护指南（二） 前言上篇指南主要讲解了Cobalt Strike主要功能和这些功能运行时的行为特征。在这篇指南中我们将关注网络流量侧的特征，涉及到域前置、SOCKS代理、C2通信、Sigma规则、JARM、JA3/S... 2023-5-8 18:30:46 | 阅读: 32 | 收藏 | Desync InfoSec c2 cobalt 攻击 beacon 流量

【DFIR报告翻译】Cobalt Strike防护指南（一） https://twitter.com/Kostastsale/https://www.coresecurity.com/products/cobalt-strikehttps://www.youtu... 2023-5-6 12:2:29 | 阅读: 32 | 收藏 | Desync InfoSec github sigmahq sigma ymlhttps

【DFIR报告翻译】Quantum 勒索软件 摘要这是我们遇到过的入侵最快的勒索软件案例，攻击者从边界突破到部署域范围的勒索软件只用了大约4个小时。攻击者通过邮件钓鱼投递IcedID恶意软件成功突破了网络边界。以下是我们遇到过的其他勒索组织在边界... 2023-5-5 08:2:41 | 阅读: 20 | 收藏 | Desync InfoSec 攻击 windows 攻击者 cobalt 勒索

第五课 威胁情报的计划与执行 “威胁情报需求调研”在产生威胁情报需求时，最佳状态是情报的消费方可以准确地描述他们对威胁情报功能的需求和期望，然而实际情况并不能这样完美。许多领导者虽然相信网络威胁情报的价值，但不知道如何利用它。随着... 2023-5-4 18:39:21 | 阅读: 15 | 收藏 | Desync InfoSec 攻击 信息 威胁 数据 攻击者

第四课 建立威胁情报团队 问你是否需要一个威胁情报团队？情报的生产和情报的消费有着紧密的联系，但消费情报以达到防御效果的目标和生产情报的目标上存在着很大的差异。在小微企业中，情报生产和情报消费往往是同一个团队负责的。安全运营分... 2023-5-4 18:39:17 | 阅读: 19 | 收藏 | Desync InfoSec 威胁 安全 攻击 pir 入侵

威胁分析：从 IcedID银行木马到域入侵分析 主要特征快速移动：攻击者在不到一小时的时间内完成从最初的感染到横向移动。Active Directory 域在不到 24 小时内遭到入侵。标准化攻击流程：在整个攻击过程中，攻击者遵循侦察、凭据窃取、滥... 2023-4-30 13:29:20 | 阅读: 21 | 收藏 | Desync InfoSec 攻击 攻击者 icedid 横向 rundll32

参加了多次攻防演练后，不知你的蓝队能否检测这些勒索组织TTPs！ 概述根据Mandiant M-Trends 2023分析报告，在2022年勒索软件相关的事件中，70%的调查事件是由外部通知的，其中67%是勒索团伙在执行完加密后，通过留下的勒索信通知的。虽然从202... 2023-4-23 08:0:27 | 阅读: 17 | 收藏 | Desync InfoSec 安全 勒索 攻击 攻防 ttps

听说你精通蓝队技术，当真？常见攻击工具特征及检测分析 概述攻击者在入侵的过程中，总是会使用一些工具。例如：扫描器、远程控制软件、C2框架、代理隧道等等。而这些工具在网络通信时产生的流量默认情况下都会存在固定的特征。对本文内容感兴趣，欢迎下载文末的完整文档... 2023-4-14 11:41:17 | 阅读: 312 | 收藏 | Desync InfoSec 攻击 隧道 攻击者 代理 流量

威胁分析：MSI - 伪装成软件安装程序 Cybereason全球安全运营中心（GSOC）发布了紫队系列威胁分析报告，其中介绍了攻击组织利用微软的Windows安装文件（.msi）入侵并控制目标机器的一系列技战术。本报告分为四个部分简介：MS... 2023-4-13 21:3:29 | 阅读: 54 | 收藏 | Desync InfoSec 二进制 数据 攻击 信息

通过 Sysmon 进行威胁狩猎(Threat Hunting)（二） 通过 Sysmon 进行威胁狩猎(Threat Hunting)（二）DeepBlueCLI：sysmon分析工具介绍1.DeepBlueCLI的功能DeepBlueCLI是一个 PowerShell... 2023-4-8 08:49:56 | 阅读: 90 | 收藏 | Desync InfoSec powershell windows sysmon sigma deepbluecli

通过 Sysmon 进行威胁狩猎(Threat Hunting)（一） Microsoft Sysinternals SysmonSysinternals Sysmon 是一个很棒的免费工具，可以监控应用程序的使用（以及更多）。Sysmon是一个 Windows 系统服务... 2023-4-8 08:49:52 | 阅读: 28 | 收藏 | Desync InfoSec sysmon windows powershell mimikatz imphash

【DFIR报告翻译】恶意ISO文件导致全域勒索加密 摘要IcedID持续投递钓鱼邮件获取失陷主机权限。这次的案例发生在2022年9月，攻击组织在后渗透阶段使用了许多常见的和新的技术与工具。最终导致了全域的加密勒索。本案例与Malware-Traffic... 2023-4-4 18:5:2 | 阅读: 30 | 收藏 | Desync InfoSec 攻击 windows 攻击者 powershell cobalt

【CTI】威胁情报课程相关案例：PROMETHIUM和NEODYMIUM 背景PROMETHIUM和NEODYMIUM是从2012年开始活跃的两个独立的APT组织，他们只针对个人用户进行攻击。这两个组织所使用的技巧有所不同，但在0day漏洞利用方面有很强的联系。微软公开纰漏... 2023-3-31 19:26:19 | 阅读: 14 | 收藏 | Desync InfoSec 攻击 promethium 漏洞 neodymium download

第三课 威胁情报消费(Threat Intelligence Consumption) 威胁情报的生产与消费在组织中我们建议情报的生产与情报的消费由两个不同的团队完成。情报生产侧重于从入侵事件中提取信息，利用击杀链、钻石模型等方法分析数据并产生情报。而情报消费则是作为防护者使用情报进行检... 2023-3-31 19:26:15 | 阅读: 8 | 收藏 | Desync InfoSec 威胁 入侵 攻击 安全 网络

第二课 理解网络威胁情报(Understanding Cyber Threat Intelligence) 概述这个章节的内容偏向于概念的定义和解释，所以干货为0.网络威胁情报（Cyber Threat Intelligence）分析所有需要的攻击者的意图、动机和攻击能力相关信息。所有分析需要聚焦于服务的客... 2023-3-31 19:26:10 | 阅读: 15 | 收藏 | Desync InfoSec 攻击 入侵 威胁 共享 数据

主动防御&网络欺骗：让网络防御成为一种艺术 善攻者,敌不知其所守；善守者,敌不知其所攻。                                         —《孙子兵法》01案例分享在介绍主动防御和网络欺骗技术之前，我们先看看几个... 2023-3-27 08:31:32 | 阅读: 45 | 收藏 | Desync InfoSec 攻击 攻击者 欺骗 网络 后门

【CTI】威胁情报第一课：理解情报 理解情报Understanding Intelligence在我们讨论网络威胁情报之前，我们首先需要明白什么是情报。因为网络威胁情报也是从传统情报领域发展起来的。那什么是情报呢？传统意义上的情报工作，... 2023-3-20 20:32:57 | 阅读: 10 | 收藏 | Desync InfoSec 信息 cia 威胁 对抗