邮件追踪
黑客一般喜欢采用在邮件附件中附带恶意代码的方式来进行攻击, TAC可以有效的检测这种攻击方式并产生告警。但是我们多次发现在邮件类的告警中出现收、发件人为空的情况,这对攻击溯源产生了很大的迷惑性,于是我们对这种情况的邮件进行了追踪分析。
从网络安全法草案看关键信息基础设施安全
27日,全国人大21次会议再次审议中国网络安全法,其中涉及关键信息基础设施安全的内容引人关注。长期以来,社会各界十分关注网络安全,强烈要求依法加强网络空间治理,规范网络信息传播秩序,惩治网络违法犯罪,使网络空间清朗起来。全国人大代表也提出许多议案、建议,呼吁出台网络安全相关立法。为适应国家网络安全工作的新形势新任务,落实党中央的要求,回应人民群众的期待,十二届全国人大常委会把制定网络安全方面的立法列入立法工作计划中。
信息泄露之拖库撞库思考(3)
某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。本文主要从撞库角度出发和大家探讨一下相关内容和技术。
信息泄露之拖库撞库思考(2)
某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。上次绿盟君从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。本文主要从拖库角度出发聊聊。
TAC检测恶意样本扩展分析实例(下篇)
上篇中,通过对恶意样本的TAC告警分析,以及借助第三方平台进行扩展分析,给大家展示了一个恶意样本有可能的行为,有可能的来源等。下篇,我们来看一下通过手工分析的部分。 恶意样本分析的上篇,我们通过对恶意样本的TAC告警分析,以及借助第三方平台进行扩展分析,让大家了解,一个恶意样本有可能的行为,并尝试找到样本来源。下篇,我们来看一下通过手工分析恶意样本的行为。
绿盟科技威胁态势感知方案
2016数博会刚刚结束,会议由国家发改委、工信部、商务部、网络安全和信息化领导小组、贵州省人民政府主办,网监、网安及各市县领导现场指导工作。此次活动超过9万名各界人士参与,具有规模大、规格高、时间长、要求严等特点,意义重大,绿盟科技及友商团队受主管机构指派,顺利完成大会的网络安全保障工作,而这其中“绿盟科技威胁态势感知方案”的贡献不小。
TAC检测恶意样本扩展分析实例(上篇)
TAC和NIPS的集成方案,在测试过程中捕获一个恶意样本。通过这个恶意样本的TAC告警分析,借助VirusTotal和威胁情报平台工具,我们展示了一次恶意软件的探索之旅。本文是恶意软件分析的上篇,通过TAC设备进行的分析,加上外围工具平台的分析。之后作者将出一份研究院的大拿的人工分析,敬请期待!
逻辑回归算法学习与思考
本文是作者对于逻辑回归算法的学习和思考,主要介绍:逻辑回归的算法介绍、逻辑回归的数学原理、逻辑回归的实际应用、逻辑回归的总结以及网络安全场景预测,欢迎大家参考讨论。
信息泄露之拖库撞库思考(1)
某网站被曝“信息泄露”事件,使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。本文从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。希望本文能够抛砖引玉,给互联网网站开发、设计、运维的IT工作人员扩展思路,从而提高互联网网站防范信息泄露的综合安全能力。
千里之行 从工控漏洞看工控安全
工业控制系统广泛用于冶金、电力、石油石化、核能等工业生产领域,以及航空、铁路、公路、地铁等公共服务领域,是国家关键生产设施和基础设施运行的“中枢”。
用图论的方法自动搜索域管理员
AD域权限提升是渗透测试中很重要的一部分。比较常用的提升域权限是围绕着收集你登录系统的纯文本身份认证信息或令牌,这种方式主要是用Mimikatz实现的。通常情况是在你已获取到的机器上发现域管理员的登录信息,然后就可以直接收集域管的身份认证信息,拿着这些去登录主系统。
浅析Windows的访问权限检查机制
在操作系统中,当我们提到安全的时候,意味着有一些资源需要被保护,在Windows操作系统中,这些被保护的资源大多以对象(Object)的形式存在,对象是对资源的一种抽象。每个对象都可以拥有自己的安全描述符(Security Descriptor),用来描述它能够被谁、以何种方式而访问。