--- 对服务器网段进行未知威胁分析

概述

实验环境：

AR161-S (总部）：公网IP，动态域名。

AR207-S(分支1) ：非公网IP

USG6306（分支2）：非公网IP

实验笔记

最开始打算只用Ipsec 来实现分支与总部互访、分支与分支互访。

必要条件

• 树莓派4B（其他设备也可以）
• 一张SD卡，最好是大内存（8GB以上）
• openwrt 固件
• 一条开通了固定IP服务的家庭宽带

固定IP开通

向宽带运营商申请固定ip服务，具体是否可以开通请读者自行致电客服，此服务一般免费。

The CloudXNS DDNS with PowerShell 是利用 CloudXNS 的 API 实现自己的 DDNS 服务的 PowerShell 开源脚本。支持所有Windows PowerShell平台（包括Windows XP上的PowerShell V1.0.0）。同时也有linux的shell版本。

使用方法：把域名添加到CloudXNS， 获得API-KEY和SECERT-KEY。

1、Windows的默认设置是禁止执行PS脚本的，为了运行脚本，请使用管理员身份打开PowerShell并运行

各位朋友，大家好，上次我们已经说过，可以通过花生壳实现内网到公网的IP和端口映射，从而实现ftp服务器Server-U突破局域网限制而实现公网的Web访问，花生壳实现起来非常方便，实现的机制实质上构建用户本地端的ftp服务器Server-U的局域网IP、端口映射到花生壳分配给用户的另外一个可以连接公网的“高级局域网”，说直白一点，花生壳构建的“高级局域网”本质上是一个代理用户连接到公网的网络，用起来确实很方便。从传远程ftp小文件来讲，速度还行，但是有网友私信我说传大文件速度较慢。

现今网络攻防环境愈发复杂，威胁情报现在作为一种弥补攻防信息不对称的安全技术逐渐得到了广泛的认识，更多企业也开始接受并购买威胁情报数据来建设企业安全。笔者对当下的威胁情报应用较多的场景进行了一些总结，期待与业界各位权威进一步交流。

1 什么是威胁情报？

在探讨威胁情报应用的问题之前，我们必须首先要回答清楚：什么是威胁情报？

SANS研究院的说法是：针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标，所收集的用于评估和应用的数据集。Gartner的解释则是：威胁情报是基于证据的知识，包括上下文、机制、指标、隐含和可操作的建议，针对一个现存的或新兴的威胁，可用于做出相应决定的知识。

0×00 前言

在讲文章主题之前，我们还是习惯性地聊(che)一(che)聊(dan)。

远程控制木马大家都不陌生，尤其是早期接触黑客技术的人，应该可以发现早在2007-2009年，这段时间内，国内的“黑客技术”正是蓬勃发展的时期，那个时候，可谓是“战乱纷争，万马奔腾”的年代，当时流行各种黑客技术，其中就包括远程控制技术。

各种远程控制木马满天飞，无论是最早葛军编写的“灰鸽子”，还是各种后起之秀的RAT，简直不胜枚举，各种被阉割的xxx专用版，各种新出的xxxRAT。如各类国产远控木马、上兴、PCShare、黑防的ByShell、黑洞、冰河、SRAT、暗组的DRAT、XRAT、维度等等，包括国外的一些C/S,B/S型的远控木马也传入了国内，各家似乎都在比拼谁的功能多，谁的免杀好，谁的反杀软技术强。于是，各种HOOK SSDT，Rootkit级别的木马比比皆是。可是，后来因为国家的管控，各种黑客论坛，黑客网站，黑客杂志相继关闭或消失。远控木马编写技术和木马免杀技术也不再那么流行，当初写木马做免杀的“高手”，如今早已从网络中销声匿迹。

在选择内网穿透服务时，有人会考虑自建、购买小厂或个人搭建的FRP服务，比如：SakuraFrp（樱花FRP）、HayFrp、风林水起Frp、星河内网穿透这类。

虽然，他们的服务价格、提供的最高带宽看起来远优于大厂，但其中却有大量的隐患，甚至可能导致内网主机直接被黑，不仅是因为超售带宽、长期亏损、容易跑路，而且还可能面临监管风险以及中间人攻击等等问题。

一、不符合监管要求，随时可能无法访问

与Windows下五花八门的勒索病毒家族不同，Linux下感染量较大的恶意软件就几个家族。但这几个家族占据了全球大部分的感染主机，几乎呈现出垄断的趋势。本文将介绍Linux环境下7个较常见的流行恶意软件家族，以及其对应的清除步骤。

七大恶意软件家族

BillGates

BillGates在2014年被首次发现，由于其样本中多变量及函数包含字符串”gates”而得名，该病毒主要被黑客用于DDos，其特点是会替换系统正常程序（ss、netstat、ps、lsof）进行伪装