400块钱3小时上门服务,同城附近人100米,怎么找同城的人服务,夜场女都是为了钱吗

    <strike id="t98gp"></strike>

    1. <code id="t98gp"></code>

      <nav id="t98gp"></nav>
    2. <object id="t98gp"></object>
      首頁 網絡安全紅隊最常用的三大工具

      紅隊最常用的三大工具

      運維派隸屬馬哥教育旗下專業運維社區,是國內成立最早的IT運維技術社區,歡迎關注公眾號:yunweipai
      領取學習更多免費Linux云計算、Python、Docker、K8s教程關注公眾號:馬哥linux運維

      有人說,歷史就像任人打扮的小姑娘,每次表演都唱同樣的歌。網絡安全也不能免俗,紅隊工具似乎總是能逃避檢測,給藍隊制造麻煩。造成這種局面原因有很多,但有一點是決定性的,那就是:紅隊只需要做對一次,而藍隊每次都需要做對。

      藍隊通常很難檢測到紅隊的工具,這迫使藍隊需要與威脅狩獵團隊坐下來共同研究如何查找和檢測紅隊最常使用的工具——例如Cobalt Strike、Brute Ratel、Meterpreter和PowerShell Empire。

      以下,我們逐一介紹紅隊最常用的三大工具:

      紅隊工具一:Cobalt Strike

      Cobalt Strike可能是紅隊(包括許多對手)今天最常用的紅隊工具之一。Cobalt Strike是一個功能齊全的商用滲透測試工具,由Strategic CyberLLC公司提供。該工具被宣傳為“對手模擬和紅隊行動”,但其重要的定制和功能導致很多威脅參與者出于各種動機也會使用它。Cobalt Strike還整合了各種其他后期開發工具,例如Mimikatz,以擴展其功能。

      一旦紅隊(或對手)站穩腳跟,策略重點就會轉移到執行,在目標系統上“引爆”他們的工具,同時避免被安全團隊發現。最常見的執行方法之一是使用腳本解釋器——在Windows環境下通常是PowerShell。因此,許多安全控制措施都在密切關注PowerShell及其產生的進程。然而,Cobalt Strike(以及許多其他對手)找到了一種巧妙的方法,將PowerShell直接加載到內存中來繞過這個問題,通常使用類似unmanagedpowershell的工具在內存中運行PowerShell而無需生成powershell.exe。

      檢測Cobalt Strike活動最簡單的方法之一是查找與非默認PowerShell可執行文件的PowerShell運行時環境關聯的DLL加載,這可以幫助識別可能的惡意活動。

      紅隊工具二:Brute Ratel

      另一個大受歡迎的紅隊工具是Brute Ratel。該工具由Chetan Nayak(Mandiant和Crowdstrike的前紅隊成員)開發的攻擊模擬和后利用工具包,于2020年發布。后利用工具包是一個可定制的命令和控制框架,為用戶提供諸如(但不限于):將shellcode注入進程、執行腳本執行和編寫C2通道(如Slack、Microsoft團隊)。

      許多紅隊和對手在取得立足點后首先執行的技術動作之一是下載其他工具。許多現代安全工具能夠使用無頭瀏覽器(headless browser)之類的工具輕松檢測到攻擊者。但是,藍隊有時可能會被忽視的一種攻擊方法是利用系統上已經存在的現有二進制文件(LOLBins)。該方法最流行工具之一是certutil,它是Windows操作系統上的命令行程序,用作證書服務的一部分。它可用于配置證書服務、驗證證書以及更多與證書相關的活動。CertUtil中的一個命令參數——urlcache,可用于執行URL緩存管理操作——攻擊者已經意識到他們可以使用該工具來下載惡意文件,但是如何檢測呢?

      檢測惡意certutil活動的一種簡單方法是通過CertUtil.exe的“urlcache”參數查找正在啟動下載的文件。CertUtil通常不用于從Web下載可執行文件或文件,因此當它從互聯網下載文件時應被視為可疑活動。

      紅隊工具三:Metasploit

      被紅隊和對手廣泛使用的另一個紅隊工具是Metasploit,一種非常流行的攻擊框架,用于滲透測試和惡意活動。

      Metasploit有很多功能,最常見的是對手和紅隊用它來實現橫向移動和在遠程系統上執行操作。實現此目的的最常見技術之一是濫用PsExec進行服務安裝。

      檢測Metasploit活動的一個簡便的好方法是查找包含與Metasploit的PsExec工具使用的模式名稱一致的服務安裝,同時在“Windows”目錄中查找具有相同名稱的二進制文件。攻擊者和紅隊可以更改此命名約定,但許多人并沒有意識到這一點。

      文章來源:GoUpSec,侵刪

      本文鏈接:http://www.605748.com/42646.html

      網友評論comments

      發表評論

      您的電子郵箱地址不會被公開。

      暫無評論

      Copyright ? 2012-2022 YUNWEIPAI.COM - 運維派 京ICP備16064699號-6
      掃二維碼
      掃二維碼
      返回頂部
      400块钱3小时上门服务,同城附近人100米,怎么找同城的人服务,夜场女都是为了钱吗