攻防对抗之蓝队那些事儿
蓝队,指攻防演练中的防守方。通常要求具备安全检查、整改、加固等基础能力,同时要对红队普遍攻击手段及新型攻击技术有一定的了解,在演练期间进行网络安全事件监测、预警、分析、验证、处置与溯源。本文总结了蓝队在实际攻防演练中,使用到的技术和方法,方便大家了解。
2022-11-11
云山雾隐博客内容
定期更新技术和安全内容,发布行业信息和官方活动,为您提供更多资讯。
攻防对抗之红队那些事儿
所谓实践是检验真理的唯一标准,云山雾隐在前不久的首届CSA西塞杯零信任攻防挑战赛中荣获“最佳防御”方案,同时零信任也再一次获得实战检验。在本次比赛中云山雾隐作为防守方,成功抵御了来自84支白帽子战队、315名选手对系统数据目标的密集攻击。今天我们就来聊一聊,攻防对抗中的红队都有哪些常用攻击方法及手段。
2022-10-17
僵尸网络样本行为分析
云山雾隐安全团队近期在蜜罐中发现了多个病毒后门样本,经查看后样本内容一致,为同一样本,该脚本使用ssh登录部署后门脚本与C2进行通信,并利用当前访问权限进行了横向传播。本文将简单分析该样本产生的病毒行为及可能造成的危害,并提出有针对性的预防措施。
2022-07-14
实战基于KMDF的磁盘写保护
Windows上有几种不同类型的过滤器驱动程序,从文件系统过滤器、Ndis封包过滤器到特定的PnP设备过滤器等。本文主要讲的是磁盘设备过滤器驱动(Disk Device Filter Driver),其可以附加到本机磁盘驱动器上,过滤系统中的所有磁盘设备,实现对特定磁盘写保护的功能。
2022-07-08
基于ObRegisterCallbacks实现的简单进程保护功能
使用ObRegisterCallbacks函数实现进程保护功能的实操指南。
2022-06-27
基于minfiliter的文件保护驱动
minifilter是微软继sfilter后推出的过滤驱动框架,相比sfilter更容易使用,需要程序员做的编码也更简洁。对于每一种操作,minifilter都可以注册一个preOperation和postOperation的回调函数,而我们在回调函数中可以实现很多功能,如:文件加密、备份等。
2022-05-20
记Spring内存马分析
此文旨在简单记录Spring内存马分析过程,在Spring框架里可作为内存马的有Controller和Interceptor,本文主要讲解Controller。
2022-04-18
初探Shellcode免杀
shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因常让攻击者获得shell而得名。shellcode常常使用机器语言编写,可在暂存器eip溢出后,塞入一段可让CPU执行的shellcode机器码,让电脑可以执行攻击者的任意指令。
2022-03-18
Windows驱动签名经验贴
最近公司在进行NAC网卡驱动的研发,而Windows驱动要想跑起来就必须得进行驱动签名。这中间过程坎坷,我们也在驱动签名上也踩过不少坑,特此记录,希望能帮到有需要的友商。
2022-02-09
实战SNMP服务攻击
SNMP全称简单网络管理协议,是专门设计用于在IP网络管理网络节点(服务器、工作站、路由器、交换机及HUBS等)的一种标准协议,是一种应用层协议。通过SNMP可以访问设备信息、改写和配置设备参数等,SNMP运行在UDP161端口上,采用UDP协议在管理端和agent之间传输信息。
2022-01-10
从交换机安全配置看常见的局域网攻击
如本文标题所说从交换机安全配置看常见的局域网攻击,以下提到的各种攻击方式,自然是建立在交换机安全配置之上来说的。我们通过h3c官方提供的《H3C 交换机安全加固手册》和《安全配置指导》,可以看出交换机支持的安全配置非常多,基本已经覆盖了各种我们所熟知的局域网攻击,下面就挑几个典型的攻击方式进行演示。
2021-12-21
实战LaTex Injection
最近在给某友商做安全测试时,遇到一个全新的技术——LaTeX。由于此前从未遇到过,加上国内资料较少,一时引起了云山雾隐的注意。关于LaTeX的安全问题,严格意义上来说应该是属于Tex的安全问题,因为它是基于Tex的。而了解Tex的应该都知道,若使用不当,则会有很大的安全隐患。在此云山雾隐简单分析下该技术,本文只是一个简单介绍和分享,如有不妥,欢迎各位积极讨论、互相学习。
2021-12-10
端隐SDP密钥交换简介
端隐SDP在首次启动时,会自动初始化生成一对非对称密钥,保存到内存、同时加密储存到本地磁盘。密钥类型为Curve25519,在密码学中这是一种被设计用于椭圆曲线迪菲-赫尔曼(ECDH)的密钥交换方法,可用作提供256比特的安全密钥。除此之外,它还是不被任何已知专利覆盖的最快ECC曲线之一。
2021-12-04
端隐SDP如何做好安全防护?
企业对于信息泄露,其实很难做到百分百防护,我们能做的只是尽可能多的增加安全措施,以降低信息泄露的风险。端隐SDP内部目前已有的防护措施主要有这几类防护:部署Github信息泄漏监控系统、自研的web框架、员工常规风控培训、持续安全测试。
2021-12-01
端隐零信任如何实现单点登录?
目前主流、常用的单点登录协议有SAML和OIDC,SAML是早年基于XML且仅用于浏览器的协议,而OIDC是近几年在RESTFul服务流行期间基于OAuth协议拓展出来用于单点登录协议部分的一个超集,其信息传输使用了JWT(Json Web Token)。由于OIDC基于OAuth协议,所以不止支持B/S架构,同时也支持C/S架构应用,而SAML仅支持B/S架构。而在端隐零信任中又是如何使用Go语言实现单点登录功能的呢?
2021-11-30
端隐零信任访问控制简介
端隐零信任安全解决方案在访问控制中引进信任算法模型,由端隐安全控制中心基于用户历史数据进行信任评估,包括终端环境、身份属性、登录行为和访问行为四个感知维度,感知维度覆盖了用户通过端隐零信任访问企业系统资源的全部过程,如用户访问环境是否安全、访问过程中多因子身份认证是否通过、访问主体本身是否安全等。
2021-11-24
关于Golang内嵌脚本语言的选择
从性能上比较, goja 比 Golang 慢了五十倍以上,却能在5秒内执行2000多万次调用,完全足够应付最开始的运维需求。虽然此处在未来还有较大的优化空间,但为了避免过早优化,现在选择goja即可。
2021-11-11
一文读懂企业为什么需要部署零信任安全架构
2020年,继直属美国商务部的美国国家标准与技术研究院NIST发布了《零信任架构》草案第二版之后,其下属单位国家网际安全卓越中心NCCoE随即发布了《实现零信任架构》草案,指出在企业或组织中,零信任架构落地实践的6种主要场景。
2021-9-15
十年零信任,都有哪些流派?
从以上五个流派来看,无论是企业或组织机构,实现零信任安全架构的技术手段都有很多。但需要注意的是,无论其名称和架构怎么变,零信任解决方案和产品都应该立足于零信任安全架构“万变不离其宗”的四大关键能力——以身份为基石、业务安全访问、持续信任评估、动态访问控制。
2021-9-10
到底什么是零信任?
简单来说,零信任作为一种全新的安全理念和架构,其核心思想就是:在默认情况下,企业内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。而这里的人、事、物,通常指的是发起网络访问的用户、终端设备以及访问过程中的所有行为。
2021-9-1