主页 / 360百战奇御技术沙龙 / 最后的防线!高级域渗透攻击的分析与检测
-
作者@9ian1i
-
简介
高级域渗透攻击手法多样,隐蔽性强,且不易被普通安全监测工具检测出来,成为了攻击者惯用的攻击手段,企业在域安全防护方面的需求也更加迫切。国际上最知名的产品是微软公司的ATA,其价格异常昂贵(单个用户80美元),而且在国内还没有销售,此外,国内在域控安全方面的研究和产品几乎为空白。
由360 0KeeTeam 独立开发的WatchAD域安全入侵感知系统可收集所有域控上的事件日志和kerberos流量,通过特征匹配、Kerberos协议分析、历史行为、敏感操作和蜜罐账户等方式来检测各种已知与未知威胁,功能覆盖了大部分目前的常见内网域渗透手法。
该项目在360公司内部上线运行以来,发现多起高级威胁活动,提升了域安全能力。今天,我们将WatchAD开源系统中基于事件日志的检测部分进行开源,希望共同维护和提升WatchAD产品的能力。
GitHub地址: https://github.com/0Kee-Team/WatchAD?from=timeline&isappinstalled=0
- •Background on Subject
- •Architecture
- •Detections
- – Abnormal Kerberos Protocol
- – Sensitive Actions
- – Logon History
- –Honeypot Account
- –Detect Unknown Threat
- •Achievements
- •WatchAD •Thanks
-
援引https://mp.weixin.qq.com/s?src=11×tamp=1572240991&ver=1939&signature=AxmHy2T7bb-rXIVViQei-Wll-E4hbhvWas*zQfZtY8eGa--ZOpQs1QVKhBNLg2p8FeLSAmkyV3Q7nOidlveV1CdfDPmW4391qTXNML7LE9ibPukOutbuHEMmAPa1Ttgl&new=1
-
提示本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
-
2022-03-09 14:58:45.382693
-
2019-12-23 05:40:52
-
2018-01-24 10:31:30
-
2020-01-09 03:45:58
附件下载
-
02最后的防线!高级域渗透攻击的分析与检测.pdf