【应急响应】WMI事件消费者

    【应急响应】WMI事件消费者
    0x00 前言最近听说powershell挖矿又变种了,其实我觉得这个病毒的手法还是蛮高明的,wmi消费事件启动,powershell无文件落地的方式,可以绕过一些杀软的监测,让一些安全小白也无从下手去处理。回想起第一次应急就遇到这个病毒的时候,当时还是小白,对powershell和wmi一脸懵逼,客户说内网老是蓝屏,老是有powershell程序运行,用……继续阅读 »

    lz520520 5年前 (2019-10-09) 1416浏览 10个赞

    勒索病毒经验总结-溯源

    勒索病毒经验总结-溯源
    当客户遇到勒索病毒的时候,我们这能提供的应急响应基本上是去做隔离、溯源,判断主机是怎么被入侵的,以及后续如何防范,而根据目前遇到的情况,大致分为两种,rdp远程登录,和445端口的永恒之蓝攻击。这里分享这两种手段的判断方法。Smb445首先445端口永恒之蓝攻击,这个可以根据是否打了ms17-010补丁去判断。下面链接是各个windows系统版本所需要……继续阅读 »

    lz520520 6年前 (2019-04-21) 1341浏览 6个赞