蓝队技能-应急响应篇&C2后门&权限维持手法&Windows&Linux基线检查&排查封锁清理

Ethan医生3周前 (05-25)信息收集42

➢ 蓝队技能-Web入侵-入口&查杀&攻击链等

➢ 蓝队技能-C2后门&权限维持-基线检查&查杀封锁

#C2后门分析处置&权限维持技术处置

#Windows实验：

1、常规C2后门-分析检测

常规C2后门：

-无隐匿手法

删除文件，防火墙阻止程序或IP域名等

-有隐匿手法

CDN，云函数，中转等（溯源和反制）

2、Rookit后门-分析检测

后续课程讲到

3、权限维持技术-分析检测

自启动测试：

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"

隐藏账户：

net user xiaodi$ xiaodi!@#X123 /add

映像劫持

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"

屏保&登录

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe"

4、Web的内存马-分析检测

后续课程讲到

Linux实验：

1、常规C2后门-分析检测

常规C2后门：

-无隐匿手法

删除文件，防火墙阻止程序或IP域名等

-有隐匿手法

CDN，云函数，中转等（溯源和反制）

2、Rookit后门-分析检测

后续课程

3、权限维持技术-分析检测

4、Web的内存马-分析检测

后续课程

基线检测配合分析项目：

-Windows:

https://github.com/selinuxG/Golin

https://github.com/m-sec-org/d-eyes

d-eyes可以查看挖矿家族与勒索病毒

https://github.com/FindAllTeam/FindAll

有两个檔案一个客户端一个服务端使用

https://github.com/DeEpinGh0st/WindowsBaselineAssistant

-Linux:

https://github.com/selinuxG/Golin

https://github.com/m-sec-org/d-eyes

https://github.com/enomothem/Whoamifuck (不推荐使用)

https://github.com/Ashro-one/Ashro_linux(不推荐使用)

https://github.com/sun977/linuxcheckshoot

https://mp.weixin.qq.com/s/fcVMStVXu0BploXWopaHtQ

返回列表

上一篇：JS逆向-安全辅助项目&接口联动&JSRpc进阶调用&BP插件autoDecode&JsEncrypter(下)

下一篇：内网对抗-横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用

蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口

➢ 蓝队技能-Web入侵-入口&查杀&攻击链等#Web攻击事件获取当前WEB环境的组成架构（脚本，数据库，中间件，系统等）分析思路：1、利用时间节点筛选日志行为2、利用对漏洞...

内网对抗-横向移动篇&入口切换&SMB共享&WMI管道&DCOM组件&Impacket套件&CS插件

➢ 横向移动-WMI服务-条件&明文&HASH➢ 横向移动-SMB服务-条件&明文&HASH➢ 横向移动-DCOM服务-条件&明文...

红队APT-钓鱼投递篇&邮件系统&SPF绕过&自建SMTP&EwoMail配合Gophish转发&劫持网页

➢ 红队APT-邮件钓鱼-软硬绕过SPF➢ 红队APT-邮件钓鱼-自建EwoMail➢ 红队APT-邮件钓鱼-Gophish批量域名：xdsec.icu服务器：Cento...

红队APT-流量隐匿篇&安全测试&反拉黑&隐藏源IP&隧道代理池&秒切IP访问&绕防护设备

➢ 红队APT-流量隐匿-C2证书&特征分析➢ 红队APT-溯源隐藏-C2通讯&中转节点➢ 红队APT-溯源隐藏-IP通讯&反制拉黑溯源安全态势日...

红队APT-钓鱼投递篇&文件程序类&RLO伪装&LNK快捷&自解压运行&捆绑打包&CHM电子书

➢ 红队APT-文件后缀-钓鱼伪装-RLO➢ 红队APT-电子书-CHM-加载JS&PS➢ 红队APT-快捷方式-LNK-加载&HTA➢ 红队A...

漏扫项目篇&武装BURP&浏览器插件&信息收集&分析辅助&遥遥领先

#插件类-武装BurpSuite-漏洞检测&分析辅助漏洞检测类：1、FioraNuclei提供Poc图形界面，实现快速搜索、一键运行等功能，提升体验。https://github.com/bi...

EthanDoctor

蓝队技能-应急响应篇&C2后门&权限维持手法&Windows&Linux基线检查&排查封锁清理

相关文章

蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口

内网对抗-横向移动篇&入口切换&SMB共享&WMI管道&DCOM组件&Impacket套件&CS插件

红队APT-钓鱼投递篇&邮件系统&SPF绕过&自建SMTP&EwoMail配合Gophish转发&劫持网页

红队APT-流量隐匿篇&安全测试&反拉黑&隐藏源IP&隧道代理池&秒切IP访问&绕防护设备

红队APT-钓鱼投递篇&文件程序类&RLO伪装&LNK快捷&自解压运行&捆绑打包&CHM电子书

漏扫项目篇&武装BURP&浏览器插件&信息收集&分析辅助&遥遥领先

发表评论

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号

EthanDoctor

蓝队技能-应急响应篇&C2后门&权限维持手法&Windows&Linux基线检查&排查封锁清理

相关文章

蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口

内网对抗-横向移动篇&入口切换&SMB共享&WMI管道&DCOM组件&Impacket套件&CS插件

红队APT-钓鱼投递篇&邮件系统&SPF绕过&自建SMTP&EwoMail配合Gophish转发&劫持网页

红队APT-流量隐匿篇&安全测试&反拉黑&隐藏源IP&隧道代理池&秒切IP访问&绕防护设备

红队APT-钓鱼投递篇&文件程序类&RLO伪装&LNK快捷&自解压运行&捆绑打包&CHM电子书

漏扫项目篇&武装BURP&浏览器插件&信息收集&分析辅助&遥遥领先

发表评论 取消回复

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号

发表评论