数字货币主导的时代
|
然后就完成了。入门PHP真的特别简单,你不需要知道它的工作原理。你安安心心地干就完事了。然而,如果你相信的话,PHP的这种“易操性”实际上也可能是它的一种缺点。理论上讲,如果PHP如此简单,那么用PHP编写危险的代码也非常容易。 一想到这,我有点坐立难安。这是否意味着人们不太可能使用那些难的语言来编写危险的代码?我在哪里读到过,微软为Windows发布的修补程序中,大约有70%是为了解决由c++引起的内存问题(这话不是我说的)。我怀疑用c++写微软的人都是业余的,而且我很确定他们知道自己在做什么。 是的,虽然Windows比你用的购物车网站要复杂得多,但是我认为这个观点是站得住脚的。Python是公认的新手友好型语言,但是却没有人说它“危险”。用任何语言写任何危险的代码都是容易的。不是语言创造了危险的代码,而是缺乏相关的知识创造了危险的代码。 “简单”不是劝退新手学习PHP的理由,相反,这给了初学者们更好的工具,好让他们在写代码的时候做出更好的选择。这是也是帮助他们找到合适的资源正确学习PHP的原因。我还是挺幸运的,尽管我写过不少“危险”代码,我的学习之路上总会有一些贵人(不一定是PHP工程师)来帮助我找出需要改进的地方。 PHP很慢 并不。PHP 可以同步你写代码的速度。PHP是一种脚本语言,因此将其与编译语言进行比较是毫无意义的,然而出于某种原因,我看到甚至有人将PHP与Rust或Go进行比较。这些比较没什么意思。 把它和python或是Ruby比,可能还好一些,但是一种语言的“速度”是由多种因素决定的,语言本身,还有环境,运行的代码,解释器配置方式,等等。凭空就说PHP很慢是不够意思的。 对于某些类型的任务,PHP确实很慢。例如,如果从事机器学习领域的工作,可能就别首选PHP (尽管有一些很有趣的项目正展现出一些前景)。
有时你会看到一些基准测试,两种语言做同一件事,比如循环超过100万条记录,做一些简单的计算。结果往往相差几毫秒,这常常有时候被用来证明PHP运作慢(有时候用来证明快)。如果你编写的软件,在对一百万条记录进行循环时,多花几毫秒就会造成灾难性的后果,那也无话可说。 Cobalt Strike和Metasploit为何如此流行? 去年,Insikt Group的研究人员在记录了80个恶意软件家族的超过1万多台C2服务器信息。其中1,441台C2服务器使用了Cobalt Strike,1122台使用了Metasploit,加起来,二者占C2服务器总数的25%。检测到未更改的Cobalt Strike部署占已确定的C2服务器的13.5%。 攻击性安全工具(也称为渗透测试工具和红队工具)近年来已成为攻击者工具包的一部分。其中一些工具模仿了攻击者的活动,攻击小组也都开始尝试整合渗透测试技术。 在C2基础结构中发现的几乎所有攻击性安全工具都与APT或高级金融黑客相关。Cobalt Strike是越南APT组织海莲花(Ocean Lotus)和网络犯罪团伙FIN7的最爱。Metasploit则在APT集团Evilnum和Turla(与俄罗斯有联系的隐形APT集团)中很受欢迎。 Recorded Future的高级情报分析师Greg Lesnewich指出:“有趣的是,Metasploit在成熟的间谍团体Turla和以公司间谍活动为目标的雇佣军团体Evilnum中都广受欢迎。” 报告指出,研究人员检测到的攻击性安全工具中,有40%以上是开源的。这些工具的可访问性和维护性吸引了各种技能和水平的攻击者。其中Metasploit是Rapid7开发的维护良好的开源进攻工具。而Cobalt Strike虽然不是开放源代码项目,但在源代码泄漏后,互联网上出现了多个Cobalt Strike版本。红队通常会购买该工具,但实际上任何人都可以使用它,网络上还有大量入门指南。 Lesnewich解释说:“无论在初始访问还是利用后阶段,Metasploit和Cobalt Strike都可以做很多工作,最主要的是一点是,这两个工具在整个攻击周期中可以大大减少甚至避免开发工作,而且还不容易从大量使用者中被识别出来(难以归因)。” 如何让尖矛变利盾? 攻击性安全工具对网络安全战场上的所有人都有利。低技能的攻击者可以很快上手操作,而高技能的攻击者也可以与公司的进攻性安全实践相融合,从这些工具优良的功能中受益。 但是在有些场景中,攻击小组未必需要这些工具。例如,任务很单一不需要动用太多功能,或者针对的是个人而不是企业,不需要完全检查目标设备。 Cobalt Strike和Metasploit对于“紫色团队”也非常友好。尽管两者都在逃避检测方面做了很多工作,但他们也向防御者充分展示了如何检测和跟踪其部署。Recorded Future报告中所列举的这10种最常用的攻击性安全工具,可用于通知C2,或基于主机和基于网络的检测。 他解释说:“尽管上述所有小组都可以开发自己的利用后框架或C2框架,但对于防御者而言,攻击性安全工具的效能取决于编写了多少文档来检测这些问题。” 有了检测文档,蓝队可以练习分析清单上这些有着类似开源代码但并不常见的载荷,例如跟踪一些不是很流行的恶意软件家族。 Lesnewich建议安全团队分析以前的威胁报告,创建优先级列表。推荐使用的工具包括用于终结点威胁的开源检测工具Yara和等效于网络检测的Snort。 其次,建议安全团队仔细研究公司的SIEM和SOAR平台以发现异常行为,例如,两个原本应该与服务器通信的端点相互之间通信。
总之,跟踪攻击性安全工具的恶意使用只是防御性安全流程的一个步骤,也是帮助防御者熟悉如何检测并观察工具开发来龙去脉的一种有效方法。在此基础上,安全团队可以开始跟踪其他威胁,包括Emotet和Trickbot,以及任何其他在环境中产生噪音的威胁。 (编辑:平顶山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
