欢迎关注:1,欢迎关注本博客,你可点击右手边的【QQ邮件订阅】订阅本博客!2,本博客推出江湖救急计划,主要为工作中遇到疑难杂症的兄弟提供远程技术支持和分析,如有需要,请在江湖救急计划页面给我留言!

三实“捕影”2018招人计划

作者:飞鸟 发布于:2018-1-26 13:45 Friday 分类:其 他

0x01 小组介绍

“捕影”应急响应小组是安徽三实公司旗下专门负责网络疑难故障处置、安全事件应急响应、业务系统性能优化、日志分析的团队。


   0x02  小组荣誉

1.    公安部一所网防G01安徽技术支撑团队;

2.    安徽省公安厅网安总队技术支撑团队;

3.    安徽唯一一支专注于网络疑难杂症与黑客攻击入侵应急响应的团队;

4.    协助政企金融用户处理数百起网络疑难故障;

5.    协助多地网安与用户处理数百起黑客入侵事件;

6.    freebuf、团队博客蚂蚁网上发表了数百篇专业疑难故障与应急响应类文章;

7.    安徽省19大网络安全应急保障工作、组织几十家用户的应急演练;

8.    多次为安徽省公安厅、安徽省经信委、各地市公安/网信办提供技术培训和讲座;

9.    多位网络分析专家/应急服务专业级工程师/CISP/各种安全厂商认证工程师;

10.  团队博客www.vants.orgwww.freebuf.com/author/feiniao

    0x03 招人计划

 助理工程师

1.    熟悉常见网络结构

2.    了解基本的网络原理(交换机、路由器、防火墙等)

3.    掌握wireshark、科来等抓包软件的使用;能够在故障现场根据具体故障现象抓取相应的数据包

4.    了解常见的网络设备、服务器、登录配置操作

5.    了解常见安全设备、存储设备、虚拟化的工作机制和原理,能够完成常规的操作;

6.    能与用户沟通,完成日常工作,并撰写报告;

7.    常规问题的分析和解决

8.    协助团队负责人完成其他常规工作。

技术工程师

1.    具备一定的安全能力,熟悉网络安全与web安全的原理

2.    了解常见攻击方式,如xsssql注入、文件上传等原理

3.    熟悉主流安全设备的工作原理

4.    具有一定的分析和处理入侵事件的能力

5.    具备一定的日志分析能力,能够通过日志分析黑客攻击的痕迹

6.    熟悉TCP/IP协议,对数据包有一定的分析能力

7.    熟悉主流的网络设备,了解网络设备的工作原理

8.    能够独立处理日常的工作

9.    独立撰写用户服务过程文档。

(以上至少满足5)

 中高级安全工程师

1.    精通TCP/IP原理,具有独立解决用户网络疑难故障的能力

2.    深入理解应急响应的流程、具体步骤,可独立进行安全事件的应急处置

3.    了解IT项目管理知识体系,能够胜任公司大型安全服务项目经理

4.    撰写体系化的技术文档并进行团队分享。

  C开发工程师

1.  独立完成系统模块开发、维护,按计划完成各个模块日常开发工作;

2.  配合同事以及上级领导制定软件开发方案

3.  解决项目中因程序引起的故障问题;

4.  项目维护和新功能模块开发;

5.  良好的代码编写习惯、以及技术文档书写能力

6.  良好的沟通与表达能力、思路清晰,较强的动手能力与逻辑分析能力。

    0x04  联系方式

 地址

合肥市高新区长江西路1185F创业园A408。

联系方式

Tel:132 9551 2120

Mail:liuqy@ahsss.com.cn


阅读全文>>

标签: 疑难故障 TCP wireshark 招聘 三实 应急响应 捕影 日志分析 招人 捕影小组 应急处置 三实捕影

评论(6) 引用(0) 浏览(453)

某省厅门户网站A市局访问异常应急处置

作者:竹林再遇北极熊 发布于:2017-11-28 21:47 Tuesday 分类:网络分析

1 情况概述

1.1  网络拓扑结构

    梳理省厅网络拓扑结构,了解WEB服务器通过接入交换机、WAF、抗D,经防火墙对外映射对外提供服务,其中交换机、抗D、WAF均为二层部署,如下图所示


1.2 情况简介

    A市局近期有无法访问省厅门户网站的现象,换个IP即可正常访问,与省厅沟通后发现其他市局和互联网用户均能正常访问。

1.3 分析思...

阅读全文>>

标签: 日志 交换机 TCP wireshark 负载均衡

评论(1) 引用(0) 浏览(653)

网站劫持案例分析

作者:飞鸟 发布于:2017-11-17 20:37 Friday 分类:网络安全

1.    概述

上段时间一直忙于处理大会安全保障与应急,借助公司云悉情报平台,发现并处置几十起网站被劫持的情况。对黑客SEO技术颇有感觉。正好这段时间有时间,把以前遇到比较有趣的案例和大家分享一下。里面很多技术其实早已被玩透,只是网上搜了一下并无太多这方面的介绍。所以在这里共享一下相关的案例,案例主要分享一下思路。

1.1    ...

阅读全文>>

标签: 日志 wireshark 安全 抓包 ACK 页面劫持 劫持 网站劫持 JS劫持 服务器劫持 SEO 黑帽 黑帽SEO 寄生虫程序 云悉 UA判断 referer判断 劫持分析 劫持案例

评论(1) 引用(0) 浏览(1008)

见缝插针-DNS泛解析是怎么被黑客玩坏的

作者:飞鸟 发布于:2017-5-5 12:10 Friday 分类:网络安全

  网络创立之初,所有的访问都是通过IP地址来实现的,因web等协议与应用的兴起,有了域名,再通过IP去访问一方面不太容易记,另一方面因负载、CDN等方面的原因,单纯使用IP地址访问会带来一些问题。因此域名产生了,通过域名访问,中间设备只认识IP,因此最终还是解析到相应的IP地址去访问。这个用来解析的协议称作DNS,主要功能为将域名解析到相应的IP地址。

   ...

阅读全文>>

标签: wireshark DNS 安全分析 泛解析 域名泛解析 DNS泛解析 黑产

评论(3) 引用(0) 浏览(1389)

【转】WireShark黑客发现之旅—肉鸡邮件服务器

作者:易隐者 发布于:2015-7-7 13:01 Tuesday 分类:网络安全

【原文链接】:http://drops.wooyun.org/tips/6944

【原文作者】:聚锋实验室

【原文全文】:

0x00 背景


肉鸡也称傀儡机,是指可以被黑客远程控制的机器。一旦成为肉鸡,就可以被攻击者随意利用,如:窃取资料、再次发起攻击、破坏等等。下面将利用WireShark一起学习一种肉鸡的用途:广告垃圾邮件发送站。

0x01 发现问题


在对某企业服务器群进行安全检测时发现客户一台服务器(10.190.214.130)存在异常,从其通信行为来看应该为一台空闲服务器。 经过一段时间的抓包采集,对数据进行协议统计发现,基本均为SMTP协议。

enter image description here

enter image description here

SMTP协议为邮件为邮件传输协议。正常情况下出现此协议有两种情况:

1、用户发送邮件产生。
2、邮件服务器正常通信产生。

该IP地址属于服务器,所以肯定非个人用户利用PC机发送邮件。

那这是一台邮件服务器?如果是,为什么仅有SMTP协议,POP3、HTTP、IMAP等等呢?

带着疑问我们统计了一下数据的IP、端口等信息:

enter image description here

统计信息表明:所有通信均是与61.158.163.126(河南三门峡)产生的SMTP协议,且服务器(10.190.214.130)开放了TCP25端口,它的的确确是一台邮件服务器。

到这,很多安全分析人员或监控分析软件就止步了。原因是IP合理、逻辑也合理、SMTP协议很少有攻击行为,以为是一次正常的邮件通信行为。那么很可惜,你将错过一次不大不小的安全威胁事件。

职业的敏感告诉我,它不是一台合理的邮件服务器。这个时候需要用到应用层的分析,看一看它的通信行为。继续看看SMTP登陆过程的数据。

enter image description here

从数据看出,邮箱登陆成功,右键Follow TCPStream可以看见完整登陆信息。

enter image description here

334 VXNlcm5hbWU6          // Base64解码为:“Username:”
YWRtaW4=  //用户输入的用户名,Base Base64解码为:“admin”
334 UGFzc3dvcmQ6         //Base64解码为:“Password:”
YWRtaW4=  //用户输入的密码,Base Base64解码为:“admin”
235 Authentication successful.  //认证成功
MAIL FROM:<admin@system.mail
/* <![CDATA[ */!function(){try{var t="currentScript"in document?document.currentScript:function(){for(var t=document.getElementsByTagName("script"),e=t.length;e--;)if(t[e].getAttribute("cf-hash"))return t[e]}();if(t&&t.previousSibling){var e,r,n,i,c=t.previousSibling,a=c.getAttribute("data-cfemail");if(a){for(e="",r=parseInt(a.substr(0,2),16),n=2;a.length-n;n+=2)i=parseInt(a.substr(n,2),16)^r,e+=String.fromCharCode(i);e=document.createTextNode(e),c.parentNode.replaceChild(e,c)}}}catch(u){}}();/* ]]> */>  //邮件发送自……

这段数据表明:61.158.163.126通过SMTP协议,使用用户名admin、密码admin,成功登陆邮件服务器10.190.214.30,邮件服务器的域名为@system.mail,且利用admin@system.mail发送邮件。

一看用户名、密码、邮箱,就发现问题了:

1、admin账号一般不会通过互联网登陆进行管理。

2、“二货”管理员才会把admin账号设为密码。

3、域名@system.mail与客户无任何关系。

很显然,这是一台被控制的邮件服务器—“肉鸡邮件服务器”。

0x02 行为跟踪


发现问题了,下一步跟踪其行为,这个肉鸡服务器到底是干什么的。查看Follow TCPStream完整信息可发现:这是一封由admin@system.mail群发的邮件,收件人包括:www651419067@126.com、wyq0204@yahoo.com.cn、zhaocl1@163.com等10个人(带QQ的邮箱暂时抹掉,原因见最后),邮件内容不多。

enter image description here

enter image description here

为看到完整邮件内容,我们可以点击Save As存为X.eml,用outlook等邮件客户端打开。

enter image description here

一看邮件,所有谜团都解开了。邮件内容就是一封“巧虎”的广告垃圾邮件,该服务器被攻击者控制创建了邮件服务器,用于垃圾邮件发送站。再用同样的方法还原部分其它邮件:

enter image description here

enter image description here

可以看出邮件内容完全一样,从前面图中可看出短时间的监控中SMTP协议有几十次会话,也就说发送了几十次邮件,涉及邮箱几百人。邮件中的域名http://url7.me/HnhV1打开后会跳转至巧虎商品的广告页面。

enter image description here

0x03 分析结论


1、该服务器经简单探测,开放了TCP25/110/445/135/3389/139等大量高危端口,所以被攻击控制是必然。

2、该服务器已被控制创建了肉鸡邮件服务器(WinWebMail),邮件服务器域名为@system.mail,由61.158.163.126(河南省三门峡市)使用admin@system.mail用户登录,通过邮件客户端或专用软件往外发送垃圾邮件。

3、简单百度一下,很多人会经常收到来自admin@system.mail的垃圾邮件,今天终于弄清了它的来龙去脉。

4、垃圾邮件发送不是随便发的,是很有针对性的。巧虎是幼儿产品,从接受邮件的QQ号码中随便选取4位查询资料发现发送对象可能都为年轻的爸爸妈妈。

enter image description here

enter image description here

enter image description here

申明:文章中出现IP、邮箱地址等信息均为安全监控、攻击防范学习交流所用,切勿用于其它用途,否则责任自负。

0x04 后续文章初步设计


对于后续文章内容,初步设计WireShark黑客发现之旅--暴力破解、端口扫描、Web漏洞扫描、Web漏洞利用、仿冒登陆、钓鱼邮件、数据库攻击、邮件系统攻击、基于Web的内网渗透等。但可能会根据时间、搭建实验环境等情况进行略微调整。 (By:Mr.Right、K0r4dji)

阅读全文>>

标签: wireshark 安全分析 垃圾邮件

评论(1) 引用(0) 浏览(4361)

Powered by 易隐者 基于emlog 皖ICP备12002343号-1