文章源代码地址https://github.com/mir1ce/MKT背景日常工作中分配到一个Linux横向的分析处置任务,经过一系列分析后,发现这个黑产组织整体的攻击路径都是比…
一、背景2025年2月某日,刚放完春节假期回来上班,大伙都还沉浸在放假的氛围里,写了几份春节保障(重保都要常态化了QAQ,脑仁疼)的报告后准备收拾东西下班,突然项目经理打电话说:"…
一、事件概述今儿一早登录邮箱想发周报来着,结果发现邮件新增一条,点开看看,好家伙,现在钓鱼邮件这么归类,连格式都这么假。看到这个,突然心血来潮,什么事也得分析分析一下,不然真无法想…
很久没有写技术文章,这段时间一直忙于无问社区平台的研发言归正传,本次主要是针对应急响应工作流程与技术思路进行一次梳理,从前期的沟通到技术的实施。在技术实施上本次会涵盖windows…
一、背景2024年12月26日,我司收到托管机房的网络安全通报,认为我司服务器有挖矿行为,需要当天完成整改。二、影响范围同一内网的10台GPU服务器,版本均为ubuntu 20.0…
事件现象、原因及关键字事件现象:某进程占用大量CPU与内存事件原因:服务器被设置启动程序,启动程序systems.bat从远程服务器下载可执行文件并执行,进行挖矿行为,导致CPU与…
关于iris-webiris-web是一款专业的网络安全事件应急响应协同平台,该工具允许广大安全研究人员执行网络安全事件响应调查,并在技术层面上共享调查结果。iris-web是一个…
一、前言最近遇到一次真实的内存马排查case,之前自己也是有专门做过内存马查杀工具,于是重新回顾梳理,并把自己的一些方法分享出来。二、内存马介绍首先我们了解一下内存马注入的方法,有…
关于RetrievIRRetrievIR是一款功能强大的信息安全取证收集工具,该工具本质上是一个轻量级 PowerShell 脚本,旨在帮助事件响应者从本地和远程主机收集可用于取证…
创作背景在处置应急事件过程,经常会遇到以下几个场景:日志没有任何异常、日志文件被清除、日志文件被加密,无法通过主机日志进行取证;主机上面没有落地的恶意文件,无法通过文件落地时间进行…