蓝队技能-应急响应篇&C2后门&权限维持手法&Windows&Linux基线检查&排查封锁清理

Ethan医生7个月前 (05-25)信息收集262

➢ 蓝队技能-Web入侵-入口&查杀&攻击链等

➢ 蓝队技能-C2后门&权限维持-基线检查&查杀封锁

#C2后门分析处置&权限维持技术处置

#Windows实验：

1、常规C2后门-分析检测

常规C2后门：

-无隐匿手法

删除文件，防火墙阻止程序或IP域名等

-有隐匿手法

CDN，云函数，中转等（溯源和反制）

2、Rookit后门-分析检测

后续课程讲到

3、权限维持技术-分析检测

自启动测试：

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"

隐藏账户：

net user xiaodi$ xiaodi!@#X123 /add

映像劫持

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"

屏保&登录

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe"

4、Web的内存马-分析检测

后续课程讲到

Linux实验：

1、常规C2后门-分析检测

常规C2后门：

-无隐匿手法

删除文件，防火墙阻止程序或IP域名等

-有隐匿手法

CDN，云函数，中转等（溯源和反制）

2、Rookit后门-分析检测

后续课程

3、权限维持技术-分析检测

4、Web的内存马-分析检测

后续课程

基线检测配合分析项目：

-Windows:

https://github.com/selinuxG/Golin

https://github.com/m-sec-org/d-eyes

d-eyes可以查看挖矿家族与勒索病毒

https://github.com/FindAllTeam/FindAll

有两个檔案一个客户端一个服务端使用

https://github.com/DeEpinGh0st/WindowsBaselineAssistant

-Linux:

https://github.com/selinuxG/Golin

https://github.com/m-sec-org/d-eyes

https://github.com/enomothem/Whoamifuck (不推荐使用)

https://github.com/Ashro-one/Ashro_linux(不推荐使用)

https://github.com/sun977/linuxcheckshoot

https://mp.weixin.qq.com/s/fcVMStVXu0BploXWopaHtQ

返回列表

上一篇：JS逆向-安全辅助项目&接口联动&JSRpc进阶调用&BP插件autoDecode&JsEncrypter(下)

下一篇：内网对抗-横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用

蓝队技能-报告书写篇&红蓝队&云函数域前置溯源反制&渗透测试&值守日报&安全简历模版

➢ 红蓝队技能-报告书写-渗透测试&值守日报&安全简历漏洞风险报告https://github.com/s1g0day/ShitReport 渗透测试报告启动环境：...

蓝队技能-溯源反制篇&暴打红队&蜜罐读取&IDE上线&蚁剑RCE&Goby资产&Sqlmap命令

➢ 蓝队技能-溯源反制-蜜罐&安全工具#溯源反制-蜜罐-伪装MYSQL当红队小子对目标进行扫描时，发下存在MYSQL安全问题去利用，便会落入蓝队的陷阱https://github.c...

蓝队技能-应急响应篇&近源攻击&Docker镜像&容器分析&Dockfile路径定位&基线扫描

➢ 蓝队技能-Docker镜像-容器分析&处置配置&基线检测#Docker应急Docker拉取的镜像被攻击者拿下，植入后门或挖矿等恶意应用，那么该如何应急？1、启动镜像例子1...

红队APT-钓鱼投递篇&文件程序类&RLO伪装&LNK快捷&自解压运行&捆绑打包&CHM电子书

➢ 红队APT-文件后缀-钓鱼伪装-RLO➢ 红队APT-电子书-CHM-加载JS&PS➢ 红队APT-快捷方式-LNK-加载&HTA➢ 红队A...

红队APT-流量隐匿篇&安全测试&反拉黑&隐藏源IP&隧道代理池&秒切IP访问&绕防护设备

➢ 红队APT-流量隐匿-C2证书&特征分析➢ 红队APT-溯源隐藏-C2通讯&中转节点➢ 红队APT-溯源隐藏-IP通讯&反制拉黑溯源安全态势日...

内网对抗-横向移动篇&入口切换&SMB共享&WMI管道&DCOM组件&Impacket套件&CS插件

➢ 横向移动-WMI服务-条件&明文&HASH➢ 横向移动-SMB服务-条件&明文&HASH➢ 横向移动-DCOM服务-条件&明文...

EthanDoctor

蓝队技能-应急响应篇&C2后门&权限维持手法&Windows&Linux基线检查&排查封锁清理

相关文章

蓝队技能-报告书写篇&红蓝队&云函数域前置溯源反制&渗透测试&值守日报&安全简历模版

蓝队技能-溯源反制篇&暴打红队&蜜罐读取&IDE上线&蚁剑RCE&Goby资产&Sqlmap命令

蓝队技能-应急响应篇&近源攻击&Docker镜像&容器分析&Dockfile路径定位&基线扫描

红队APT-钓鱼投递篇&文件程序类&RLO伪装&LNK快捷&自解压运行&捆绑打包&CHM电子书

红队APT-流量隐匿篇&安全测试&反拉黑&隐藏源IP&隧道代理池&秒切IP访问&绕防护设备

内网对抗-横向移动篇&入口切换&SMB共享&WMI管道&DCOM组件&Impacket套件&CS插件

发表评论

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号

EthanDoctor

蓝队技能-应急响应篇&C2后门&权限维持手法&Windows&Linux基线检查&排查封锁清理

相关文章

蓝队技能-报告书写篇&红蓝队&云函数域前置溯源反制&渗透测试&值守日报&安全简历模版

蓝队技能-溯源反制篇&暴打红队&蜜罐读取&IDE上线&蚁剑RCE&Goby资产&Sqlmap命令

蓝队技能-应急响应篇&近源攻击&Docker镜像&容器分析&Dockfile路径定位&基线扫描

红队APT-钓鱼投递篇&文件程序类&RLO伪装&LNK快捷&自解压运行&捆绑打包&CHM电子书

红队APT-流量隐匿篇&安全测试&反拉黑&隐藏源IP&隧道代理池&秒切IP访问&绕防护设备

内网对抗-横向移动篇&入口切换&SMB共享&WMI管道&DCOM组件&Impacket套件&CS插件

发表评论 取消回复

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号

发表评论