Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederwechat2rss.xlab.app
ZLabs
Get the latest updates from ZLabs directly as they happen.
Follow now 24 followers
Latest posts
Last updated 6 months ago
放个P ... PT 参考模板
over 8 years ago
原创 Python 2017-10-01 17:10 n/a 今天整理素材,顺便撸个PPT,黑白简单线条风格效果如下图,萝卜青菜、按需索取,点击查看原文直接到PPT(78KB)制作环境:Windows 10 + Office 2016 + 自带字体...
一波招聘 · 滴滴安全
over 8 years ago
DiDi 2017-10-18 21:30 from: DiDi 【0】公司福利具有竞争力的薪资待遇,Mac 办公设备;五险一金+补充医疗&配偶&子女医疗+父母住院报销+工作居住证+子女托管;提供晚餐、小零食,健身房&私教指导,每日健身课程,各类兴趣组,家庭日;公司和部门定期邀请业界大咖,举办各类培训和技术分享;目前已经云集了以卜峥、弓峰敏为首的一大批安全技术大牛。 简历投递邮箱:springemp@gmail.com 或公众号内回复,给我你的联系方式。【1】数据分析岗位职责安全事件挖掘、分析和溯源;恶意代码研究、分析,挖掘恶意软件的关联,追溯攻击过程,发现相关未知线索;威胁情报平台建设;推动业务线对接和处理异常数据。职位要求熟悉Spark、Elasticsearch 、Hive;网络爬虫编写经验;具有攻防技术背景;熟悉基本的统计分析方法以及常用算法;对数据敏感,具有较强的逻辑思维能力。【2】后端研发岗位职责后端功能及接口开发;维护产品稳定性,定位并修复bug。职位要求掌握Python/Java/PHP/Golang/C++等至少一种语言,多种语言经验者加分,有中大型系统设计开发经验加分;熟悉网络协议交互,具有Socket网络编程和大规模并发服务器开发经验者优先;对Spark、Elasticsearch 、Hive有了解;熟悉Linux、Shell;责任心强,优秀的合作及沟通能力。【3】iOS逆向分析岗位职责负责相关软件产品的逆向分析,底层研究,难点攻关;负责配合产品线完成安全开发工作。职位要求熟悉C/C++、Objective-C;了解iOS APP开发技术,熟悉XCode开发环境;熟练应用Cydia...
Wo~ 反情报
over 8 years ago
原创 Python 2017-12-08 22:57 安全总是在对抗,有情报,就有反情报 黑产花钱买情报的故事已经听过很多次了,虽然讽刺,但却不算稀奇了。自打情报能拿出来单卖的那天开始,就已经多次在听这样的故事了。这也算得上是一种反情报了。然而 … 反情报不仅仅停留你买、我买、大家买的层面上。获得等同的信息,只是反情报中最简单粗暴的方式。反过来利用你的思路制造思维陷阱,才更有意思。这篇文章,就要介绍一条这样的陷阱 —— 利用你的套路来套路你。这个事情的背景起源于年初,当时因为各种原因需要做一份域名白名单。而我能想到最简便的方式便是交叉数据 —— 利用全球的访问来做交叉,持续都被访问很靠前的网站,就是可信的。这个套路在很多企业里也被使用,即,企业中连续多天持续访问靠前的域名,相对可信,甚至可能直接进入白名单。而放眼全球来看,恐怕...
一种全新的代码审计技术:SyntaxFlow
about 2 years ago
v1ll4n 2024-06-14 17:38 北京 我们希望把编译技术带入安全代码分析去分析代码行为,为代码行为分析带来新的机会和可能性 代码审计技术在过去的一段时间的发展中,似乎受到了一个魔咒,安全从业人员的很难摆脱 *QL的影响,毕竟编译成数据库,然后通过 QL 来查询。或者通过把 AST 解析进 neo4j,通过...
回看2017 | 威胁情报看威胁
over 8 years ago
原创 Python 2018-01-01 18:23 又是一年 … 去年做了个总结(点我查看),今年继续,但换个方式。随着威胁情报的爆发,不但有很多新加入者,也有很多做了很多年的开源信息开始重新火热。过去近2年的时间里,这里我一直在汇总各种数据,这里,我抽取2017年的数据来对2017做一个回顾。涉及的几个数据源如下:ET Pro rules(snort)SANS Diarymalwaredomains(DNS BH)CVE-2017Abuse Ransomware...
回看2017 | 威胁情报看威胁【续】
over 8 years ago
原创 Python 2018-01-11 10:10 没什么,续点内容凑一篇文章而已。 之前的《回看2017 | 威胁情报看威胁》收到了些反馈,很多朋友来找我聊文章里的细节,但又抱怨我说一半留一半。其实,真是没什么可保留的,只是很多数据摆出来,只要有心,并不难看明白一些事实。这里,根据文章,站在最终用户的视角来看,放一些我个人的结论。至于是否有用,见仁见智。建立全球的开源情报采集与响应能力,尤其是利用好时差,例如WannaCry在国外最早带有IOCs(一个HASH)的报道出现在5月12日早8:40(当地时间),而此时正是国内的周五晚上,若利用好这个时间差对很多企业来说已经可以决定生死了;既然开源情报这么有价值,那么,该如何使用?ET Pro的部分分析的最多,从套路、到源头,妥妥的都是最佳实践了;行业最热没错,但热点能给最终使用方带来的性价比未必是最高的。比如,DGA的问题有段时间被热议,但从更大范围的威胁数据上去看,DGA域名的比例并没有想象中那么大。但我们都知道,想要在不逆向算法的情况下去解决DGA的问题,所需要投入的精力却不算小,这样的投入产出比,是否值得?或是换一种套路来解决DGA背后隐藏的问题,也许开销更小、收益却未必能有所下降 —— 当然,如果想要形成持续捕获并逆向算法的能力,对一般用户来说则更耗费精力。所以,如果已经有安全厂商在做了,不如直接去买,性价比可能反而更高;勒索软件按家族来看,其披露出来的数量是有放缓趋势的,但从造成的伤害来看,至少从报道频度说,是相对2016年有大幅度提升的。这很可能意味着,勒索已经开始走向精耕细作的阶段,勒索不再是撒网捕鱼的方式,而会慢慢的开始走向定点、定向的套路。之前我写过关于勒索的科普文,我认为,勒索会逐步APT化(目前已经有类似案例)。Botnet依然猖獗,但DDoS似乎已经不再是Botnet的重要释放出口(参考绿盟2017H1的DDoS报告,DDoS总流量在2017H1不升反降)。结合2017年各种Miria变种的分析来看,单IP资源的获取成本依然很低。那么,Botnet所产生的流量将会导向何方?爬虫是我目前所知道且看到的一个去向(可惜没有明确数据支撑)。恶意域名后缀分布的走势值得揣摩, .com...
迷失在数据中的情报
about 8 years ago
原创 Python 2018-05-27 00:22 > . < 最近两年多来一直没有出来讲过东西这次的内容就来自最近一次小范围朋友间的闭门沙龙演讲具体的案例此处不展开,只提取一些理论精华,几句话就看完了如果对实战分析有兴趣,可以单独沟通,只限闭门小范围沟通(一)情报,不应迷信于数据;(二)数据,不能带来答案,而是诱使好奇者提出问题;(三)纵观历史,情报工作都是在为自己所效力的组织机构定向采集和分析的过程,并将其结果用于推进或协助某项决策;(四)所以,情报具有针对性(或说个性化) —— 因为是为特定组织机构服务的;同时,情报的价值和方向是 —— 辅助决策;(五)以上内容认同的话,进而推论,情报工作的几个实践点:情报的知彼是基于知己的,因此知己才是第一步,但在实际操作过程中,却往往因各种限制而不得不做到第二步;情报的针对性极强,而这种针对性不应只局限在其输出,更应体现在情报的产生源头(这就是溯源的价值体现)。不过源头的难度不在于“找到”而是在于“找对”;情报最终落实的手段,不应是通杀的手段,而是归于case化的事实;最后,情报,其实就是组织依据自己当前现状而建立的DIKW体系、并不断迭代的工作过程。(六)关于知己知彼知己知彼确实是情报的入门套路,而且这也是终极套路。但是,现在看来,普遍是知彼做的太多、知己做的太少,甚至有些时候我们搞错了什么是“己”、什么是“彼”。而即便前面都很顺利,也经常会在落地的时候没有将两者合理的粘合在一起,这种脱节的落地导致效力大大降低???最后,我总结的十二个字。仅代表个人意见。这应该是我写的最短的一篇了。仅仅是在拖更数个月之后告诉大家,我还在尝试坚持。而已。...
部分Tor2Web的历史数据( OpenData )
about 8 years ago
原创 Python 2018-05-29 10:23 先看历史文章 / The Dark Web / 关于Tor2Web的OpenData,可以查看之前写的一篇The Dark...
闲扯,基于图的数据关联分析
over 7 years ago
原创 Python 2018-11-10 23:37 又快年底 首先,是几个事实:基于图进行关联分析,是非常古老的手段,而近现代的各种技术手段解决的多是由于大量数据所带来的关系多样性的问题,以及其中包含的大量数据的计算性能方面的问题;基于图进行关联分析由于其存在的古老历史,所以,这种方法实际上沉淀了很多通用的方法论;基于图的可视化效果可弥补传统字符串分析方式的一些不足,比如,字符分析往往是基于相同或相似,而无法从数据的走向和方向上看到趋势,从而错失可能的事实或即将形成的事实;基于图的关系分析看似是扁平的,实则是立体的,只是这种立体在可视化效果上并不容易体现,而是需要借助分析者的分析能力来构建;因为这种立体关系需要基于分析人员的能力,所以图关系的展示并非像很多宣传那样可以做到“一眼就懂”,其分析过程也需要依靠专业人员,否则当元素过多而形成杂乱关系时反而会是“一眼就懵”;这种分析能力(工具/平台)并非是直接指向结果的,而更多的是用更好的方式来展示事实,这也是为什么数据即便变的可视了还需要专业分析人员的另一个原因。原则上,所有数据都可以用图做分析,只是如果构建分析能力之前不明白图形中的必要元素的组成、关系、关联、方向和趋势等必要关联因素的话,构建的结果只是单纯的点与点之间的连线,这与真正的数据之间的联系相差甚远,所以,在构建真正的关系图之前需要搞明白几个问题:主节点与属性,以常见的数据类型来说,如果说一个人是主节点,那这个人使用的设备、IP、邮箱、收款账号等等信息都是其属性。这些属性在图形中也是一个节点的形式存在,但却与主节点大有不同。属性会是两个节点建立关系的主要依据 —— 主节点A与主节点B来自同一设备,其联系就来自两个节点的相同属性;属性可能还有其更细粒度的属性,例如,IP地址。在人和人之间的数据关系中,IP地址是公认的弱关联关系,因而是在建立关联时容易被忽略。但实际上,IP也有其自己的属性,如果一个IP属于某个可信的IDC,而且从其对外开放的服务上来看,在某个时间窗口内未曾出现过变化,那么在这个时间窗口内其所属人就很可能是同一个人。这种条件下,IP虽然也不能称为强关系,但至少不会是简单的弱关系了。而在这里,实际上又提到了一个构建立体化图形关系的重要元素 —— 时间,这个后面再说;主节点之间除了用属性关联,还会因动作而关联,A的付款账号向B的收款账号进行了一笔转账,这样的关系在数据层面上体现的并非是两个点上所承载字符串的相同或相似,而是因为两个节点发生了某种动作关系。当然,这个例子只是一种显而易见的关系,在实际复杂数据中想梳理出所有这种动作关系往往是没那么简单的,因为很多关系是隐藏极深的。例如,A和B在某个社交平台发布了同一条消息、附带的是同一张图片。这种情况下,A和B的动作关系实际上是被隐藏起来的。而且没有相关分析经验的人很可能无法在分析能力构建之初设想出这样的关系,这样,一些数据可能就不会被录入到系统中,或是即便录入进去也因为缺少此类关联而浪费;构建立体化的另一重要元素就是时间,时间的流动性可以表现出节点或属性的变化,而这种变化过程中带出的新的关系,就是用于推测和验证最原始节点真伪的重要证据。依然以A、B在社交平台发布同样内容和图片为例,随着时间推移,可能我们就会发现,原来的A、B发布同样的内容,慢慢的变成了A、B、C、D都在发布同样的内容。那么这个时候问题就来了,如果他们的关系只是因为相同而关联的话,这种关联仅仅是平面的。如果通过时间轴进行从过去到现在的不断回放,可能就会发现,在某个时间节点,账号体系中只有A,随后出现B,然后A和B发布同样的内容,再随后C来注册,也发布同样的内容,随后才是D的出现和发布。这个时候,本来扁平的关系就会变的立体,而这个立体图形的顶点显然就是A了;时间轴除了构建立体关系的可能性外,还可以强化或弱化关联。强化关联的问题在属性的时候已经提到了。弱化关联的场景也很多。我见过一些基于whois的分析平台,完全就是在做扁平化的连线不说,而且还在众多节点的关系构建中忽略了时间轴,这就让看起来很丰富的数据变的毫无用处。a.com 指向 1.1.1.1...
业务安全:不只是跑赢最慢的那个人
over 7 years ago
原创 Piz0n 2018-12-01 16:20 -_- [1] 引子:后有群狼有人讲安全是一场残酷的追逐赛 —— 我们只要跑赢最慢的那个人,身后的老虎就不会扑向我们。殊不知,这个年代的信息安全,追逐我们的并非一只猛虎,而是一队群狼。在这个年代的信息安全环境中,没有人能够幸存,我们已经不再争议谁还没有被黑,只是在考虑,谁才有被黑的价值。黑客们所操心的也不再只是黑掉谁,而是如何能从硬盘堆叠的数据里洗出他们想要的目标。所以,仅仅是跑赢最慢的那个人,我们就能得以幸免么?[2] 业务安全,性价比为王在MD5还没有碰撞的年代里,每每提及加密,总是在谈其成本。一个加密算法强悍到要用当前最先进的计算机跑上一百年,这样的成本是黑客所不能接受的,因此,眼前这种消耗一百年的算法就成为了安全加密的最佳选择。安全其实就是这样,垒砌砖墙的目的不是在于其设计工艺的高端和完美,只要能够提高黑客的攻击成本,就是成功。在“银行卡四要素”价格直逼400块的那个时间里,我看到了一款新上线的个人小微贷款平台。四要素一旦验真成功,直接放贷300块 —— 这样的设计,不需要跑赢谁,他们只是跑赢了市场成本。不会有人花近400块的四要素来薅300块的羊毛。如此看似简单粗暴的解决方案,实际上却透露着难得的精致。其实在信息安全建设过程中无处不透露着这样的性价比计算方式,而业务安全,更为甚之。毕竟,在这里,每撸一把都是真金白银。黑客眼中的目标也都是以纯粹的性价比来观测,只是跑赢了其他竞品,并不代表跑赢成本,只要有利可图,就会成为目标。[3]...
回看2018 | 区块链的安全与是非
over 7 years ago
原创 Piz0n 2018-12-20 22:01 再见,2018 - 说明 -所有的统计与筛选,并不排除带有个人主观判断。如其中出现误解或错误,请指正。- 数据源 -数据来源依然来自互联网,无任何非法引用的敏感数据。新闻及数据相关部分,主要参考:币世界,快而全的区块链资讯站:bishijie.com百度新闻,查询和统计很方便:news.baidu.com非小号,加密货币统计分析平台:feixiaohao.com安全相关的部分,在细节上很大程度参考慢雾发布的信息:慢雾,专注区块链安全的团队:知识星球(zsxq.com)搜索【慢雾区】统计问题:因各种原因,所有资讯类的数据统计截止到12月15日。虽然全面性差了一些,但应该具备一定的代表性本次统计与前两不同,多数地方不会出现具体的数字,尽量以趋势统计来代替。除了统计口径外,区块链作为**词,尽量不提数字(对文中的引用,如有不妥,请联系我修改或删帖)【1】加密数字货币不可否认的是,提到区块链,不提加密货币几乎是不可能的。所以,就以此作为开篇。以非小号统计数据(12月18日),目前共有各种数字货币2485种。其中:总流通市值超8000亿人民币超过36%的数字货币因各种原已无流通市值流通市值在100万人民币以下的占48%(含无流通市值货币)流通市值TOP10的市值总和占所有数字货币市值总和的 82.4%【2】区块链人才关于区块链人才这块,先罗列一些新闻:2018年1月:瑞士区块链开发人员年薪高达18万美元2018年3月:Boss直聘研究院_区块链相关岗位平均薪资2.58万元2018年3月:区块链高烧“后遗症”_ 薪水的提高并没有带来应聘门槛的提高2018年3月:爱沙尼亚区块链初创公司招募表情包专员...
从乙方到甲方 | 我所亲历的信息安全建设之变迁【1】
almost 6 years ago
原创 Piz0n 2020-08-24 23:07 【关于我】2000年初的学生时代,作为《黑客防线》论坛版主四处流窜,也是《黑客X档案》的特约编辑群、还是《黑客手册》创刊的首批团伙之一。2004年工作开始,在三家安全厂商干了12年,做过产品、写过代码、扛过设备、撸过方案、参与过GB/T的撰写和推广落地,也有过不少行标的经验。个人感觉相对擅长应急和分析,也做过挺长时间的渗透。在17799到27000的那些年里也跟过咨询团队看过安全咨询及安全合规项目的???子,几乎所有PowerPoint和Word 的深层功法都是在那期间练成的。2016年开始进入甲方,有幸一步进入当时最火热的威胁情报领域,从眼前的小小办公网做到了全球范围的对抗。后来趁着风走进了区块链安全,又开始了一段神奇的旅程。【关于这个系列】这个系列会分成多少篇,我并没有计划,只是今天堵在路上想起了自己的号已经停更很久,需要一些内容来填充。我会从刚开始工作的那个年代我所看到的写起,有些回忆已经不那么清晰了,但还好我有保留文档和工作记录的习惯,我会一边翻出那些老文档、一边记录我的这个过程。因为是随着时间的变化而进化,可能会有混乱、但我尽量将这些整理的更成体系一些,我也尽量客观但也不可能完全抛弃主观。我并不期望能给人以指导,只希望能给自己以宽慰。2020.8.17(以下为正文)【0】我们都是黑客 ?04年,是我刚进入这个行业的时间。那是一个好的时代,也是一个糟糕的时代。到客户现场被问及最多的就是“你们公司都是黑客吧?” —— 但这里并没有什么褒奖之意。那个年代大家对安全的普遍认识停留于防火墙,那时候提到的防火墙都是网络层防火墙,基于IP+端口。曾经遇到一个防火墙调配失败的案例,无论前端Web配置界面上做什么都是无法生效,在好奇心驱使之下我使用了一些手段拿到了设备的shell,发现启动脚本出现了问题,导致iptables 服务没有启动,检查了 iptables的配置之后手动启动,前台立马看到红色的失败按钮变成了绿色。没错,这就是那个年代,但这没什么值得嘲笑的,因为正是那时候的他们造就了现在的我们。【1】那个年代的方案[1.1]...