企业博客

僵尸网络样本行为分析

云山雾隐安全团队近期在蜜罐中发现了多个病毒后门样本，经查看后样本内容一致，为同一样本，该脚本使用ssh登录部署后门脚本与C2进行通信，并利用当前访问权限进行了横向传播。本文将简单分析该样本产生的病毒行为及可能造成的危害，并提出有针对性的预防措施。

2022-07-14

实战基于KMDF的磁盘写保护

Windows上有几种不同类型的过滤器驱动程序，从文件系统过滤器、Ndis封包过滤器到特定的PnP设备过滤器等。本文主要讲的是磁盘设备过滤器驱动(Disk Device Filter Driver)，其可以附加到本机磁盘驱动器上，过滤系统中的所有磁盘设备，实现对特定磁盘写保护的功能。

2022-07-08

基于ObRegisterCallbacks实现的简单进程保护功能

使用ObRegisterCallbacks函数实现进程保护功能的实操指南。

2022-06-27

基于minfiliter的文件保护驱动

minifilter是微软继sfilter后推出的过滤驱动框架，相比sfilter更容易使用，需要程序员做的编码也更简洁。对于每一种操作，minifilter都可以注册一个preOperation和postOperation的回调函数，而我们在回调函数中可以实现很多功能，如：文件加密、备份等。

2022-05-20

记Spring内存马分析

此文旨在简单记录Spring内存马分析过程，在Spring框架里可作为内存马的有Controller和Interceptor，本文主要讲解Controller。

2022-04-18

初探Shellcode免杀

shellcode是一段用于利用软件漏洞而执行的代码，shellcode为16进制的机器码，因常让攻击者获得shell而得名。shellcode常常使用机器语言编写，可在暂存器eip溢出后，塞入一段可让CPU执行的shellcode机器码，让电脑可以执行攻击者的任意指令。

2022-03-18

Windows驱动签名经验贴

最近公司在进行NAC网卡驱动的研发，而Windows驱动要想跑起来就必须得进行驱动签名。这中间过程坎坷，我们也在驱动签名上也踩过不少坑，特此记录，希望能帮到有需要的友商。

2022-02-09

实战SNMP服务攻击

SNMP全称简单网络管理协议，是专门设计用于在IP网络管理网络节点（服务器、工作站、路由器、交换机及HUBS等）的一种标准协议，是一种应用层协议。通过SNMP可以访问设备信息、改写和配置设备参数等，SNMP运行在UDP161端口上，采用UDP协议在管理端和agent之间传输信息。

2022-01-10

从交换机安全配置看常见的局域网攻击

如本文标题所说从交换机安全配置看常见的局域网攻击，以下提到的各种攻击方式，自然是建立在交换机安全配置之上来说的。我们通过h3c官方提供的《H3C 交换机安全加固手册》和《安全配置指导》，可以看出交换机支持的安全配置非常多，基本已经覆盖了各种我们所熟知的局域网攻击，下面就挑几个典型的攻击方式进行演示。

2021-12-21

实战LaTex Injection

最近在给某友商做安全测试时，遇到一个全新的技术——LaTeX。由于此前从未遇到过，加上国内资料较少，一时引起了云山雾隐的注意。关于LaTeX的安全问题，严格意义上来说应该是属于Tex的安全问题，因为它是基于Tex的。而了解Tex的应该都知道，若使用不当，则会有很大的安全隐患。在此云山雾隐简单分析下该技术，本文只是一个简单介绍和分享，如有不妥，欢迎各位积极讨论、互相学习。

2021-12-10

端隐SDP密钥交换简介

端隐SDP在首次启动时，会自动初始化生成一对非对称密钥，保存到内存、同时加密储存到本地磁盘。密钥类型为Curve25519，在密码学中这是一种被设计用于椭圆曲线迪菲-赫尔曼(ECDH)的密钥交换方法，可用作提供256比特的安全密钥。除此之外，它还是不被任何已知专利覆盖的最快ECC曲线之一。

2021-12-04

端隐SDP如何做好安全防护？

企业对于信息泄露，其实很难做到百分百防护，我们能做的只是尽可能多的增加安全措施，以降低信息泄露的风险。端隐SDP内部目前已有的防护措施主要有这几类防护：部署Github信息泄漏监控系统、自研的web框架、员工常规风控培训、持续安全测试。

2021-12-01

端隐零信任如何实现单点登录？

目前主流、常用的单点登录协议有SAML和OIDC，SAML是早年基于XML且仅用于浏览器的协议，而OIDC是近几年在RESTFul服务流行期间基于OAuth协议拓展出来用于单点登录协议部分的一个超集，其信息传输使用了JWT(Json Web Token)。由于OIDC基于OAuth协议，所以不止支持B/S架构，同时也支持C/S架构应用，而SAML仅支持B/S架构。而在端隐零信任中又是如何使用Go语言实现单点登录功能的呢？

2021-11-30

端隐零信任访问控制简介

端隐零信任安全解决方案在访问控制中引进信任算法模型，由端隐安全控制中心基于用户历史数据进行信任评估，包括终端环境、身份属性、登录行为和访问行为四个感知维度，感知维度覆盖了用户通过端隐零信任访问企业系统资源的全部过程，如用户访问环境是否安全、访问过程中多因子身份认证是否通过、访问主体本身是否安全等。

2021-11-24

关于Golang内嵌脚本语言的选择

从性能上比较， goja 比 Golang 慢了五十倍以上，却能在5秒内执行2000多万次调用，完全足够应付最开始的运维需求。虽然此处在未来还有较大的优化空间，但为了避免过早优化，现在选择goja即可。

2021-11-11

一文读懂企业为什么需要部署零信任安全架构

2020年，继直属美国商务部的美国国家标准与技术研究院NIST发布了《零信任架构》草案第二版之后，其下属单位国家网际安全卓越中心NCCoE随即发布了《实现零信任架构》草案，指出在企业或组织中，零信任架构落地实践的6种主要场景。

2021-9-15

十年零信任，都有哪些流派？

从以上五个流派来看，无论是企业或组织机构，实现零信任安全架构的技术手段都有很多。但需要注意的是，无论其名称和架构怎么变，零信任解决方案和产品都应该立足于零信任安全架构“万变不离其宗”的四大关键能力——以身份为基石、业务安全访问、持续信任评估、动态访问控制。

2021-9-10

到底什么是零信任？

简单来说，零信任作为一种全新的安全理念和架构，其核心思想就是：在默认情况下，企业内外部的任何人、事、物均不可信，应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。而这里的人、事、物，通常指的是发起网络访问的用户、终端设备以及访问过程中的所有行为。

2021-9-1