蓝队技能-应急响应篇&C2后门&权限维持手法&Windows&Linux基线检查&排查封锁清理

Ethan医生4个月前 (05-25)信息收集133

➢ 蓝队技能-Web入侵-入口&查杀&攻击链等

➢ 蓝队技能-C2后门&权限维持-基线检查&查杀封锁

#C2后门分析处置&权限维持技术处置

#Windows实验：

1、常规C2后门-分析检测

常规C2后门：

-无隐匿手法

删除文件，防火墙阻止程序或IP域名等

-有隐匿手法

CDN，云函数，中转等（溯源和反制）

2、Rookit后门-分析检测

后续课程讲到

3、权限维持技术-分析检测

自启动测试：

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"

隐藏账户：

net user xiaodi$ xiaodi!@#X123 /add

映像劫持

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"

屏保&登录

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe"

4、Web的内存马-分析检测

后续课程讲到

Linux实验：

1、常规C2后门-分析检测

常规C2后门：

-无隐匿手法

删除文件，防火墙阻止程序或IP域名等

-有隐匿手法

CDN，云函数，中转等（溯源和反制）

2、Rookit后门-分析检测

后续课程

3、权限维持技术-分析检测

4、Web的内存马-分析检测

后续课程

基线检测配合分析项目：

-Windows:

https://github.com/selinuxG/Golin

https://github.com/m-sec-org/d-eyes

d-eyes可以查看挖矿家族与勒索病毒

https://github.com/FindAllTeam/FindAll

有两个檔案一个客户端一个服务端使用

https://github.com/DeEpinGh0st/WindowsBaselineAssistant

-Linux:

https://github.com/selinuxG/Golin

https://github.com/m-sec-org/d-eyes

https://github.com/enomothem/Whoamifuck (不推荐使用)

https://github.com/Ashro-one/Ashro_linux(不推荐使用)

https://github.com/sun977/linuxcheckshoot

https://mp.weixin.qq.com/s/fcVMStVXu0BploXWopaHtQ

返回列表

上一篇：JS逆向-安全辅助项目&接口联动&JSRpc进阶调用&BP插件autoDecode&JsEncrypter(下)

下一篇：内网对抗-横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用

蓝队技能-应急响应篇&内网攻防&爆破事件&代理隧道&流量提进程&系统日志&处置封锁

➢ 蓝队技能-内网攻防-口令爆破&隧道技术&排查&应急#口令横向场景说明：不管在内网还是在外网，协议口令爆破一直是攻击最常见的方式。1、明确对应口令爆破的日志存储路径...

漏扫项目篇&Poc开发&Yaml语法&插件一键生成&匹配结果&交互提取

#Nuclei-Poc开发-环境配置&编写流程1、开发环境：Vscode+Yaml插件https://code.visualstudio.com/2、开发文档参考资料：https://docs...

红队APT-钓鱼投递篇&网站钓鱼&工具克隆&数据异同步&手工导出修改&劫持用户&凭据窃取

➢ 红队APT-网页钓鱼-工具篇➢ 红队APT-网页钓鱼-手工篇➢ 红队APT-网页钓鱼-二维码#网页钓鱼：邮件中或其他方式配合网页钓鱼，以自行搭建的网页冒充真实站点，通...

红队APT-钓鱼投递篇&近源攻击&WIFI网络&AP节点创建&数据监控&WiFiPumpkin3项目

➢ 红队APT-近源攻击-WIFI-AP创建和监控#近源攻击-WIFI类https://mp.weixin.qq.com/s/QGGkDQcohM2HsXu_vz6idwWiFi-Pumpk...

蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口

➢ 蓝队技能-Web入侵-入口&查杀&攻击链等#Web攻击事件获取当前WEB环境的组成架构（脚本，数据库，中间件，系统等）分析思路：1、利用时间节点筛选日志行为2、利用对漏洞...

蓝队技能-应急响应篇&ELK系统&日志采集分析&Yara规则&样本识别&特征提取&规则编写

➢ 蓝队技能-工具项目-ELK日志系统&采集分析&导入分析➢ 蓝队技能-工具项目-Yara威胁感知&规则解析&规则开发#ELK专业系统日志分析Ela...

EthanDoctor

蓝队技能-应急响应篇&C2后门&权限维持手法&Windows&Linux基线检查&排查封锁清理

相关文章

蓝队技能-应急响应篇&内网攻防&爆破事件&代理隧道&流量提进程&系统日志&处置封锁

漏扫项目篇&Poc开发&Yaml语法&插件一键生成&匹配结果&交互提取

红队APT-钓鱼投递篇&网站钓鱼&工具克隆&数据异同步&手工导出修改&劫持用户&凭据窃取

红队APT-钓鱼投递篇&近源攻击&WIFI网络&AP节点创建&数据监控&WiFiPumpkin3项目

蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口

蓝队技能-应急响应篇&ELK系统&日志采集分析&Yara规则&样本识别&特征提取&规则编写

发表评论

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号

EthanDoctor

蓝队技能-应急响应篇&C2后门&权限维持手法&Windows&Linux基线检查&排查封锁清理

相关文章

蓝队技能-应急响应篇&内网攻防&爆破事件&代理隧道&流量提进程&系统日志&处置封锁

漏扫项目篇&Poc开发&Yaml语法&插件一键生成&匹配结果&交互提取

红队APT-钓鱼投递篇&网站钓鱼&工具克隆&数据异同步&手工导出修改&劫持用户&凭据窃取

红队APT-钓鱼投递篇&近源攻击&WIFI网络&AP节点创建&数据监控&WiFiPumpkin3项目

蓝队技能-应急响应篇&Web入侵指南&后门查杀&日志分析&流量解密&攻击链梳理&排查口

蓝队技能-应急响应篇&ELK系统&日志采集分析&Yara规则&样本识别&特征提取&规则编写

发表评论 取消回复

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号

发表评论