简历
联系方式
手机:15850616176
Email:yzujk0502@126.com
个人信息
周正虎/男/1986.02
2009.8-2012.4/硕士(学硕)/南京航空航天大学大计算机学院软件与理论
2005.8-2009.7/本科(一本)/扬州大学信息工程学院计算机科学与技术
工作年限:10年
政治面貌:中共党员
wooyun/seebug/t00ls/yunsee注册会员
自我介绍
对网络安全技术的兴趣,引起对编程的热爱;精通python、linux,能独立完成站点全栈开发以及红队测试。曾服务于军工研究所,大数据安全公司、头部金融机构。一直从事网络安全领域,致力于威胁情报研究、渗透测试实践、安全自动化研发。
工作经历
华泰证券股份有限公司信息技术部( 2018.12至今 )
公司威胁情报中心负责人。目前主要内容如下:
业余时间自研外部威胁监测 SaaS平台sharingeye情报社
- 监测github的代码泄漏
- 监测暗网泄漏的企业敏感数据
- 监测域名、IP的高危端口/服务、高危漏洞等
- 监控高危漏洞预警情报
- 监控论坛的薅羊毛活动
- 监控微信公众号监控关键字
网络攻击欺骗(蜜罐)集成与运营
基于MHN、OpenCanary开源蜜罐系统、默安幻阵蜜罐以及元支点有影蜜罐系统,在公司DMZ、办公网、核心网等区域构建伪装代理,组成蜜网系统。 利用filebeat以及logstash采集日志,存储至Elasticsearch 利用kibana做监控分析。在HW期间,结合蜜罐、CS反制溯源,并成功控制红队主机.
漏洞自动化运营系统开发与运营
将AWVS、Nessus、绿盟漏洞扫描器每周例行扫描报表,自动下载、自动归并、结合40多种高危资产信息,通过jira工单自动下发至负责人;并 利用tableau server api,自动生成漏洞状态与趋势word报表.
漏洞预警情报自动监控爬取与本地资产匹配响应.
安全套件安装状态的自动监控处理.
数据泄漏监控系统开发与运营
对公司内部人员以及公司外包人员,定期对羊毛党站点、业务违规公众号、暗网数据贩卖、github代码,利用爬虫方式进行监控,及时发现,快速定位与响应泄漏代码,目前已处置30多起泄漏事件。
情报应用落地 集成商业情报、开源情报;通过匹配ioc情报,利用bro网络流信息,关联osquery、sysmon的主机日志,完成从情报、网络、主机进程的多维度关联。 基于Fireeye APT沙箱产品告警日志,实现自动化运营.
瀚思安信科技有限公司( 2017.3至2018.12 )
威胁情报负责人,负责公司威胁情报的采集,评估,生成,落地等工作。主要内容如下:
基于开源框架获取开源情报 基于开源框架cif,丰富情报源与采集规则;在此基础上,针对各安全公司站点,blog开发半自动和手工采集模块,及时收集开源情报ioc
僵尸网络协议探活(malhunter)系统 对开源情报,VT网络行为数据,利用shodan端口开放情况、banner信息,结合病毒家族网络特征,筛选可疑IP;通过伪造、重放僵尸网络协议,探测僵尸网络IP+port信息,实现了c2类家族13种,p2p类家族3种,日活C2 IP: 500-3000.
基于分布式爬虫,抓取whois、pdns、VT hash等数据 利用IP为VT网站爬虫种子以及各个源采集得到的hash,通过scrapy分布式爬虫实现对恶意文件hash检测报告等数据的持续爬取,对网络行为多维度提取验证C2 IP以及域名.
基于docker蜜罐的采集系统 利用docker,moloch,sysdig,nginx、suricata以及开源蜜罐cowrie、dionaea、vulhub等热点漏洞组件等构建高交互性蜜罐系统,部署至AWS、阿里云、腾讯云、百度云;运用jumpserver+ansible进行docker容器监控、运维等;自动化获取扫描和攻击IP;
基于HELK开源大数据框架,构建情报分析与生成平台
- 参与Hunting ELK框架在aws的搭建与开发,将蜜罐数据,VT hash详情数据,开源数据,采用流处理和批处理结合方式实现数据的去重,清洗,聚合以及情报的生成;
- ip情报生成,利用rdns数据,shodan服务反查、扫描基线监控、连接周期性检测,识别c2,exploit,scanner(不含安全公司扫描),botnet,malware(downloader,reporter);
- domain情报生成,对恶意hash网络行为的域名信誉评估,含家族分类,sinkhole ip的识别以及sinkhole domain收集,DGA识别, 基于whois数据的domain关联等
- 基于平台的蜜罐数据的分析与溯源工作,如挖矿分析,蠕虫传播,APT追踪等
威胁情报的改进与落地工作
- 根据用户反馈结果,优化情报评估模型
- 收集100多种病毒家族信息,用于处置建议
- 对采集的多家客户的流量与告警数据,利用微步,天际友盟,瀚思3家ioc,开展了发现新威胁,降低平台误报以及溯源确认,处置等工作
中国电子科技集团第28研究所网络与安全部( 2015.12-2017.3 )
攻击欺骗研究(2016.10-2017.3) 负责honeyd、Beeswarm、dionaea、MHN的搭建、配置部署以及对蜜罐的扫描、漏洞利用等验证工作。
某攻击态势设计(2016.1-2016.9)
梳理某网络态势数据,分别从XX层、XX层、XX层设计其展现要素、目标关联要素等。
安全大数据分析项目( 2015.12-2017.3)
在项目中我负责了opensoc、metron、palantir、启明星辰SOC3.0的前期技术调研,整理metron、palantir等技术文档材料,完成了开源大数据框架的选型与安全分析方法的总体性思路,包括处理流程、全流量存储与回溯机制、lambda架构剖析等;基于威胁情报STIX(cybox、taxii)等开源威胁框架研究。
中国电子科技集团第28研究所国防重点实验室(2012.4-2015.12)
973某网络靶场项目(2012.4-2014.6)
负责了网络攻防场景设计、业务环境搭建、攻防实验开展等工作,分别在网络靶场装备实验、学员训练系统开展了工作。涉及多平台适配的网页UAF挂马,远程渗透,代理跳板,基于airodump的报文欺骗篡改等实现。
集团网络攻防项目(2013.1-2015.10)
负责了网络渗透系统的开发工作,在已有metasploit开源框架的基础上,基于sleep脚本实现了多用户登录、授权等工作。搜集并实现了100多种漏洞利用插件(msf中exp不包含,偏重web框架),借助zoomeye、zmap类似功能,实现了批量漏洞利用能力。此外涉及sulley协议fuzz等工作。
其他项目
某信息安全大赛(三等奖,6/19)(2013.12-2014.1)
负责apache2.4.2已知公开漏洞的验证,实现环境搭建、漏洞验证以及poc编写
某集团研究所全网渗透测试(2013.7-2013.9)
在授权条件下负责获取指定目标主机的控制权限,实现了中心服务器权限获取;利用水平权限漏洞获取目标邮箱;以中心服务器为跳板绕过访问控制规则,将木马植入指定的关键人物目标主机;此外获得了人事、财务数据库中的全部数据以及其它多台服务器的控制权限 。
某军网络攻防演练(2015.8-2015.9)
环境的准备、防护设备的调试、实现对noname木马的取证工作
江苏省高速公路联网中心应急响应(2016.7-2016.7)
负责banner策略、密码策略、安全加固、防护培训等工作
技能关键字
- 渗透相关: Cobaltstrike/metasploit/burp/awvs/hydra/sqlmap/webshell/google/shodan/masscan/nmap/goby
- 防护相关: suricata/osquery/moloch/wireshark/sysdig/MHN/HELK/sysmon
- 研发相关: python/linux/ELK/Beats/mongo/redis/kafka/flask*/git/docker/spark/aws/VUE.js
- 数据分析: pandas/tableau
证书
- CISP(2017-2020)
- 软考数据库工程师(2008-2010)
- SCJP(java程序员认证,jdk1.4,2007)
- CET-4/CET-6(2006/2007)
技术交流
- 演讲嘉宾:2020奇安信威胁情报大会、第十八届金融科技系列峰会、2019安全+(南京站)
- 参会:CIS2020、360netlab威胁情报技术交流2018、携程安全沙龙2017/2018/2019、kcon2016、syscan360(2015)、xcon2013/2014、xkunfoo2013、xdef2012、苏宁SRC2017、BCTF2014等
获得荣誉与职务
- 28所国家国防重点实验室优秀员工(2014年度)
- 28所网络与安全部网络攻防室科室副主任(2016-2017)
- 瀚思安信威胁情报负责人,主管,高级安全分析师(2017-2018)
- 华泰证券威胁情报中心负责人(2018至今)
- 2019年度作为申报人2次获得创新奖荣誉与奖金
- 2020年度团队基石奖
- 2021年国家HW,作为主要成员之一,取得优异成绩
- 2021年获得支部优秀党员称号