2 Matching Annotations
  1. Jan 2024
  2. old.zeek.org old.zeek.org
    Bro4Pros16_JohnAlthouse.pdf
    1
    1. RFast 07 Jan 2024
      SSL CertsThreat actors generally use:● The same cert.● The same cert generation tool or algorithm.● Especially if they wrote it.● The same pool of certs.

      SSL证书狩猎: 1. why: - 人类的惰性、路径依赖 2. how:<br /> - 不同基础设施使用相同的证书/从证书池中拿 - 证书都使用了相同的生成工具/算法(例如文中提到的MSF自带的证书生成算法,将该算法作为工具特征)

      SSH隧道检测: 1. SSH代理转发反弹shell检测: - 正常SSH会话中输入字符:packet length = SSH header + 1 byte char code + padding + HMAC. This could be 36,40,48 bytes or so - SSH隧道代理另一个:packet length = SSH header + [previous SSH pkt] + HMAC. This could be 76, 84, 98 bytes and so on 注:加密块大小和客户端和服务器的HMAC算法+实现。(https://www.trisul.org/blog/traffic-analysis-of-secure-shell-ssh/)

      ThreatHunt 加密流量 主动探测
    Visit annotations in context

    Tags

    Annotators

    URL

    old.zeek.org/current/slides/Bro4Pros16_JohnAlthouse.pdf
  3. Jan 2023
  4. www.notion.so www.notion.so
    Notion – The all-in-one workspace for your notes, tasks, wikis, and databases.
    1
    1. RFast 18 Jan 2023
      方案将传统的程序分析流程拆分成了两个阶段,包括代码属性图生成阶段和漏洞发现阶段。由代码属性图生成阶段生成的带污点信息的代码属性图将作为漏洞发现阶段的基础,用于动态查询分析具体漏洞细节。 从开发实现上看,主要为 tabby 核心项目和用于跟踪数据流的 neo4j 扩展 tabby path finder,如下图所示:

      测试

    Visit annotations in context

    Annotators

    URL

    notion.so/rfast-pulic/wh1t3p1g-s-blog-2286fc15ff4a4a2e83b6d1aeb9b0ecf8