来自 DDOS 2021-02-20 15:04 的文章

抗ddos_打不死的_社交网站被攻击

抗ddos_打不死的_社交网站被攻击

从表面上看,redcanary似乎非常关注端点检测和响应中的"检测"。我们所分享的大部分内容都是为了了解我们所防御的平台,以及可以用于检测对这些平台的威胁的技术,以提高准确性和规模。但这并不是说我们没有把更多的时间花在思考和建立应对系统上。事实上,当我们的首席技术官兼联合创始人chrisrothe第一次提出响应带宽的概念时,它引起了我们所有人的强烈共鸣。建立探测系统、标准和我们的抑制驱动分析平台对我们的工作是重要和关键的。事实证明,这项工作实际上是90%的反应。分类、调查、拼凑检测时间表、补救和恢复这些都是不同类型的响应活动。有些由我们承担,有些由我们的客户承担。本文将集中讨论几个具体的响应活动:隔离、调查和补救。具体来说,我们将概述一个基本的响应行动手册,然后展示(用代码)如何使用炭黑响应平台来非常快速地自动化这些步骤。我们将展示的示例假设您有:提供碳黑响应环境有足够特权来执行实时响应的帐户安装并正确配置了cbapi python客户端库我们可以通过创建一个简单的脚本来测试此设置,该脚本设置导入、日志记录并连接到响应服务器:导入argparse导入日志记录从cbapi.响应导入BannedHash从cbapi.response.models导入过程,传感器从cbapi.response.rest\u应用程序接口导入CbEnterpriseResponseAPI日志记录.basicConfig(水平=日志记录.INFO)def main():cb=CbEnterpriseResponseAPI()如果"名称"='"主视图":主()另存为playbook.py并通过python执行playbook.py你应该得到…没有回报。缺少错误意味着客户端能够成功地连接到服务器。反应行动手册中有什么?响应行动手册是事件响应团队在遇到给定威胁时将采取的一系列步骤。这些可能从非常简单到非常复杂,这取决于许多因素,包括威胁的性质和范围,以及参与应对的组织因素。例如,在金融服务领域,网络安全威胁可能会同时采取技术和物理安全应对措施。在处理关键基础设施时,同样的情况也可能发生,增加了安全人员参与的要求。这里我们假设一个已经实现的威胁,游戏DDoS防御,范围非常有限。单个系统上的独立二进制文件。我想您会看到,一旦响应框架就位,添加功能就相对简单了。情景我们的一个端点感染了一个可敬的便笺应用程序的邪恶版本。我们的行动计划是:隔离网络上的端点终止任何与未授权软件相关的进程禁止二进制文件我们不是要进行远程法医调查。相反,我们想要的是一个快速的确认的杀戮。设置我们将从添加一些输入处理开始。具体来说,我们需要能够为脚本提供主机名和进程名。分析器=argparse.ArgumentParser()parser.add_参数("--hostname",type=str,action="存储",help="针对特定主机名。")parser.add_参数("--process name",type=str,DDOS防御案例,action="存储",防御cc攻击asp代码,help="要终止的进程的名称。")参数=parser.parse_参数()然后,在连接到API的现有代码下面,我们将实际查询Response以获取所需的传感器对象,同时将查询阶段化,ddos云防御平台,以找出要终止的进程。传感器=cb.选择(传感器)。where("hostname:{0}"。格式(args.主机名))[0]目标进程=args.process_名称现在我们开始让事情发生!我们行动手册中的第一步是通过隔离网络上的端点来保护企业的其余部分:传感器网络隔离已启用=正确保存传感器()一旦完成,我们就可以终止正在运行的进程。注意,我们实际上在这里做了一些事情:首先,海外高防棋牌cdn,我们列出端点上的所有进程。接下来,我们遍历进程列表并存储与有问题的进程名相关联的进程的pid(可能不止一个)。最后,我们杀死每个存储的pid。进程列表=cblr.list_进程()target_pids=[proc['pid']for proc in process_list if target_process in proc['path']]对于目标-pids中的pid:cblr.kill_进程(pid)最后一步是禁止二进制文件。为此,我们首先需要找到与所提供名称匹配的任何进程的MD5哈希。为了得到哈希,我们将使用查询API查询响应,而不是使用实时响应API(它不会公开存储在服务器端的所有进程元数据)。进程列表=cb.选择(进程).where("进程名称:{0}"。格式(args.process_名称))target_md5s=设置()对于进程中的进程清单:目标\u md5s.add(工艺流程5)对于目标中的md5:禁止的哈希=cb.创建(班纳达什)禁止_哈希.md5hash=md5禁止_哈希.text="被Joe Dirt禁止"禁止_哈希。已启用=正确禁止_哈希。保存()就这样!为了运行我们的剧本,我们执行以下操作:pythonplaybook.py--主机名win7pro64—进程名vnc.exe我们应该看看这样的东西!从GitHub抓取这个例子!更多炭黑资源红金丝雀的安全运营中心由威胁研究人员和分析师组成,他们擅长利用炭黑反应(CbR)数据快速准确地识别客户端点上的威胁。浏览我们最流行的CbR资源和工具。*图片由华纳兄弟提供。