浅谈企业安全建设“道”与“术”--道篇

引子

所谓“读书百遍其义自见”,切实做了几年甲方安全建设,有一些自己的思考,也有与大家的交流,还有一些对外的分享,斗胆来聊聊,欢迎大家指正。

这是第一篇,先聊聊“虚”的道,后面咱们再看情况写一些“实”的术,后面能写几篇看时间;

虽然是“虚”的道,但其实应该是有一些指导意义的,需要大家的细品,这种思考与总结就个人而言,觉得挺有意思。

阅读全文〉

从SDL到DevSecOps:始终贯穿开发生命周期的安全

最近参与了《研发运营一体化(DevOps)能力成熟度模型》等标准安全部分制定,以及在内部做了一次分享,趁着分享之后聊聊自己对对研发安全以及DevSecOps的理解和实践尝试。

随着云计算被普遍运用,微服务等基础架构的成熟,同时企业业务高速发展带来的对开发运维更高效的要求,企业开发运维模型也从传统的瀑布模型演变到敏捷模型再到DevOps,而安全模型也随之改变,但其核心一直都是贯穿始终以及更前置的安全。其中“DevSecOps”是Gartner在2012年也提出的DevOps模式下的安全概念,人人为安全负责,让业务、技术和安全协同工作以生产更安全的产品

阅读全文〉

Linux watchdogs 感染性隐藏挖矿病毒分析

作者:笔者及多名同事

一、 背景

近日,腾讯云安全团队监测到部分云上及外部用户机器存在安全漏洞被入侵,同时植入 watchdogs 挖矿病毒,出现 crontab 任务异常、系统文件被删除、CPU 异常等情况,并且会自动感染更多机器。攻击者主要利用 Redis 未授权访问入侵服务器并通过内网扫描和 known_hosts 历史登录尝试感染更多机器。

相对比于过去发现的挖矿病毒,这次的挖矿病毒隐藏性更高,也更难被清理。

阅读全文〉

Linux 遭入侵,挖矿进程被隐藏案例分析

作者:笔者及多名同事

一、 背景

云鼎实验室曾分析不少入侵挖矿案例,研究发现入侵挖矿行为都比较粗暴简单,通过 top 等命令可以直接看到恶意进程,挖矿进程不会被刻意隐藏;而现在,我们发现黑客开始不断使用一些隐藏手段去隐藏挖矿进程而使它获得更久存活,今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。

阅读全文〉

Hadoop Yarn REST API 未授权漏洞利用挖矿分析

一、 背景

5月5日腾讯云安全团队曾针对攻击者利用Hadoop Yarn资源管理系统REST API未授权漏洞对服务器进行攻击,攻击者可以在未授权的情况下远程执行代码的安全问题进行预警,在预警的前后我们曾多次捕获相关的攻击案例,其中就包含利用该问题进行挖矿,我们针对其中一个案例进行分析并提供响应的安全建议和解决方案。

阅读全文〉

Linux Redis自动化挖矿感染蠕虫分析及安全建议

一、 背景

自从Redis未授权问题获取Linux系统root权限的攻击方法的披露后,由于其易用性,利用该问题入侵Linux服务进行挖矿、扫描等的黑客行为一直层出不穷;而在众多利用该问题入侵服务器进行黑产行为的案例中,其中就存在一类利用该问题进行挖矿并且会利用pnscan自动扫描感染其他机器;该类攻击一直存在,不过在近期又呈现数量增加的趋势,在最近捕获到多次,我们针对其做下具体的分析。

阅读全文〉

【黑客解析】像黑客一样思考

导语

网络安全里经常说的一句话是未知攻焉知防,基本所有的安全人员也是一名黑客,在黑客攻击愈发普遍的今天,如何更好的防御黑客攻击?用句带有点哲学的话,成为黑客,只有成为黑客,像黑客一样思考,你才能知道从哪去防御黑客;很俗的一句话,但很实在!

阅读全文〉

跨站的艺术-XSS Fuzzing 的技巧

对于XSS的漏洞挖掘过程,其实就是一个使用Payload不断测试和调整再测试的过程,这个过程我们把它叫做Fuzzing;同样是Fuzzing,有些人挖洞比较高效,有些人却不那么容易挖出漏洞,除了掌握的技术之外,比如编码的绕过处理等,还包含一些技巧性的东西,掌握一些技巧和规律,可以使得挖洞会更加从容。

阅读全文〉