rootkit

文章目录 7.11. 应急响应 7.11.1. 响应流程 7.11.1.1. 事件发生 7.11.1.2. 事件确认 7.11.1.3. 事件响应 7.11.1.4. 事件关闭 7.11.2. 事件分类 7.11.3. 分析方向 7.11.3.1. 文件分析 7.11.3.2. 进程分析 7.11.3.3. 网络分析 7.11.3.4. 配置分析 7.11.4. Linux应急响应 7.11.4.1. 文件分析 7.11.4.2. 用户分析 7.11.4.3. 进程分析 7.11.5. Windows应急响应 7.11.5.1. 文件分析 7.11.5.2. 用户分析 7.11.5.3. 进程分析 7.11.5.4. 日志分析 7.11.5.5. 其他 7.11.6. 参考链接 7.11. 应急响应 7.11.1. 响应流程 7.11.1.1. 事件发生 运维监控人员、客服审核人员等发现问题，向上通报 7.11.1.2. 事件确认 判断事件的严重性，评估出问题的严重等级，是否向上进行汇报等 7.11.1.3. 事件响应 各部门通力合作，处理安全问题，具体解决阶段 7.11.1.4. 事件关闭 处理完事件之后，需要关闭事件，并写出安全应急处理分析报告，完成整个应急过程。 7.11.2. 事件分类 病毒、木马、蠕虫事件 Web服务器入侵事件 第三方服务入侵事件 系统入侵事件

0x0 简单理解dns DNS服务器里存着一张表 表中放着域名和IP地址，域名和IP地址以映射关系保存，即一对一 浏览器访问某个域名，实际上是访问它的ip地址 所以浏览器需要知道域名对应的ip地址 如何知道？ 向知道的人查询，也就是向dns服务器查询 0x1 dns解析流程 -> 以客户端浏览器访问 www.rootkit.org 域名为例,首先,它会去检查当前浏览器缓存是否有对应IP,如果有,就直接响应,如果没有,就继续往下找 -> 接着,操作系统会去检查自己的host文件,如果从中没找到对应关系,会再到系统dns缓存中查,如果缓存中有,就直接返回该域名所对应的ip -> 如果缓存中没有,则会向我们事先设置好的dns服务器 [ 一般有两个, 主 & 备 ] 去请求,即所谓的`递归查询`,dns服务器首先会到自身解析数据库中去查 -> 如果dns服务器在自己的解析库中也没找到,它就会自动帮我们向根服务器发送询问请求 -> 此时,根看到要请求的是org的后缀(.org),就会把org所在的dns服务器告诉我们的dns -> 然后,我们的dns服务器就会去请求org所在的dns服务器 -> 当请求到达org dns服务器时,org一看域名是在rootkit这个域下的,就会把rootkit所在的dns服务器告诉我们的dns服务器 -> 再然后

本文同时发布在： [url]http://netsecurity.51cto.com/art/200809/88934.htm[/url] 本周（080901至080907）的信息安全威胁等级为低。但本周值得关注的新闻集中在Web浏览安全和虚拟化安全领域。Google发布Chrome开源浏览器其安全性和用户吸引力仍显不足，而Hypervisor作为虚拟机和真实机之间的桥梁，虚拟机的管理和安全问题是企业值得关注的。 推荐阅读 1）对于数据泄漏防御用户应该了解的几点；推荐指数：高 近两年频繁发生的敏感数据泄漏案件，以及随之带来的严重的经济和声誉形象损失，使得越来越多的企业逐渐开始关注如何保护自己的信息资产和敏感数据。数据泄漏防御作为一种能够在数据全生命周期内有效实施保护的解决方案，成为许多企业理想的选择，但如何选择适合自己的数据泄漏防御产品，又成为亟待解决的问题。 2）如何使用防火墙管理方案提升现有防火墙的安全性和性能；推荐指数：高 企业在部署防火墙之后，如何保持防火墙的安全性和性能，同时消除企业内部网络中存在的风险因素，关键是保持防火墙的正确配置，而这也正是企业防火墙管理员最常面临的挑战之一。 本周值得关注的新闻集中在Web浏览安全和虚拟化安全领域 Web浏览安全： Google发布Chrome开源浏览器，但其安全性和用户吸引力仍显不足；关注指数：高 新闻1： 9月2日

云栖号资讯：【 点击查看更多行业资讯 】 在这里您可以找到不同行业的第一手的上云资讯，还在等什么，快来！ 做云安全运营也有一年多时间了，对云上安全建设和运营有一点粗浅的经验，希望可以抛砖引玉，借此文章能有机会和大佬们交流 安全运营，安全建设方向的经验。 首先我贴一张思维导图，云上安全运营工作主要围绕此图开展，因为我们的身份是云安全乙方，所以不开展SDL工作。 一、风险管理 风险管理工作是安全运营的重头戏，风险管理是一个动态的过程，所以工作量不言而喻。 我们的风险管理其实和甲方的有些不一样，比如我们省去了对重要资产的估值这一步，只要是租户的资产，我们都ALL IN ONE，我们把重心放在更细粒度的发现风险项上。 1.1 云上风险项 1.2 自动化监控风险 阿里云几乎所有的产品都支持API调用，通过编写相关规则，可以实现自动化监控风险的功能。 例如安全组风险，通过如下代码可以获取到某个Region的所有安全组信息 返回的字典数据中，Permission字段包含了“授权方向”，“IP协议”，“授权范围”，“端口范围”，“授权策略” 通过如下示例代码可以过滤出存在高风险的安全组 这里仅以安全组风险举例，其它风险项如法炮制，都是调用阿里云API获取数据，并通过规则筛选出风险项。 6个风险项，以面向对象的编程思想封装成6个类。并设置计划任务，每天运行一次。 1.3 降低风险

本文同时发布在： [url]http://netsecurity.51cto.com/art/200809/88344.htm[/url] 本周（080825至080831）信息安全威胁程度为低。 推荐阅读： 1）如何通过软件安全开发流程提升应用程序安全；推荐指数：高 软件安全和应用安全的缺失日益成为企业内部网络漏洞的主要来源，企业要提升IT架构的安全程度，使用软件安全开发流程是一个必然的选择。从2006年开始，应用安全逐渐为软件及安全行业所关注，Microsoft也开始使用并推广安全开发生命周期（SDL）。推荐软件或有外包业务的朋友了解一下。 [url]http://www.eweek.com/c/a/Security/How-to-Increase-Application-Security-through-Secure-Software-Development/?kc=rss[/url] 2）社会网络网站使用的7个最致命行为；推荐指数：高 你是否了解当前和你交流的网友的真实身份？你有可能正在落入一个网络罪犯的陷阱——请关注Darkreading.com专题：社会网络网站的7个最致命行为 [url]http://www.darkreading.com/document.asp?doc_id=162226&f_src=darkreading_section_296[/url] 3

微软宣布了一项新的免费使用计划，旨在发现破坏Linux系统的法医证据，其中包括Rootkit和侵入性恶意软件，否则它们可能不会被发现。 被称为Project Freta的云产品是基于快照的内存取证机制，旨在提供对虚拟机（VM）快照的自动全系统易失性内存检查，并具有发现恶意软件，内核rootkit和其他隐蔽恶意软件技术的功能。如进程隐藏。 该项目以华沙的弗雷塔街命名，弗里塔街是法国著名物理学家玛丽·居里（Marie Curie）的出生地，他带来了X射线医学成像 在第一次世界大战期间进入战场。 微软新安全风险投资公司的高级主管迈克·沃克说：“现代恶意软件是复杂的，并且以不可发现性为核心原则进行设计。” “ Freta项目打算将VM取证自动化并使其民主化，以至每个用户和每个企业都可以通过按一下按钮来扫描易失性内存以查找未知恶意软件，而无需进行设置。” 目的是从内存中推断出恶意软件的存在，同时在与威胁参与者的斗争中占上风，这些威胁参与者出于别有用心而在目标系统上部署和重用隐形恶意软件，更重要的是，使其逃避不可行并增加了开发无法发现的云恶意软件的成本。 为此，“受信任的感知系统”通过处理四个不同方面来工作，这些方面首先可以通过阻止任何程序使系统免受此类攻击： 在安装安全传感器之前先检测安全传感器的存在驻留在传感器看不见的区域，检测传感器的操作，并相应地擦除或修改传感器以逃避检测

总有朋友问隐藏Linux进程的方法，我说你想隐藏到什么程度，是大隐于内核，还是小隐于用户。 网上通篇论述的无外乎hook掉procfs或者类似的用户态方案，也都难免长篇大论，我说，这些场面都太大了，太复杂了。对于希望马上看到效果的而言，看到这么一堆复杂的东西，大概率望而却步。 本文介绍一种将Linux进程小隐于用户的非常规方法，仅仅一行代码： 修改掉进程的pid即可。 注意是小隐，所以，不值得反制，逗一下高级会议工程师搞个恶作剧玩玩得了。 target -> pid = 0x7fffffff ; 完整的脚本如下： #!/usr/bin/stap -g # hide.stp global pid ; function hide ( who:long ) % { struct task_struct *target ; target = pid_task ( find_vpid ( STAP_ARG_who ) , PIDTYPE_PID ) ; target- > pid = 0x7fffffff ; % } probe begin { pid = $1 hide ( pid ) ; exit ( ) ; } 来来来，试一下： [ root@localhost system ] # ./tohide & [ 1 ] 403 [ root@localhost system ] # .

22 岁那年，马库斯·哈钦斯（Marcus Hutchins）凭一己之力阻止了有史以来最严重的网络攻击 WannaCry。不久后他因为开发恶意软件 Kronos 被 FBI 逮捕。本文将讲述他不为人知的故事。 选自Wired，作者：Andy Greenberg，机器之心编译，参与：Panda。 2017 年 8 月的一个星期三早上 7 点左右，此时马库斯·哈钦斯已经在 Airbnb 上租的一套拉斯维加斯豪宅内狂欢了一周半时间。当他走出这套豪宅的前门取自己的外卖订单时，这个身高 6 英尺 4 英寸（约 1.93 米）的 23 岁棕色卷发爆炸头黑客看见街上停着一辆黑色 SUV——看起来很像是一辆 FBI 的监控车。 他看着这辆车，大脑昏昏沉沉，不禁怀疑：终于来抓自己了吗？ 但他只是稍微想了一想，并未过多考虑。他告诉自己：FBI 办事永远不可能如此明显。由于赤脚站在前门车道上，他感到脚快被烫伤了。于是他拿起外卖，回到了豪宅中他用作卧室的泳池房。吃过外卖后，他收拾好行李准备前往机场——他已经订了一张返回英国的头等舱机票。 哈钦斯之前刚在 Defcon 大会度过了引人注目又疲惫的一周。在这个全球最大规模的黑客会议上，他被尊为英雄。不到三个月前，哈钦斯从有史以来最严重的网络攻击事件「WannaCry 勒索病毒全球大爆发」中拯救了互联网。WannaCry 是一种可以自行传播的软件