检测Cobalt Strike活动最简单的方法之一是查找与非默认PowerShell可执行文件的PowerShell运行时环境关联的DLL加载,这可以帮助识别可能的恶意活动。
红队工具二:Brute Ratel
另一个大受欢迎的红队工具是Brute Ratel。该工具由Chetan Nayak(Mandiant和Crowdstrike的前红队成员)开发的攻击模拟和后利用工具包,于2020年发布。后利用工具包是一个可定制的命令和控制框架,为用户提供诸如(但不限于):将shellcode注入进程、执行脚本执行和编写C2通道(如Slack、Microsoft团队)。
许多红队和对手在取得立足点后首先执行的技术动作之一是下载其他工具。许多现代安全工具能够使用无头浏览器(headless browser)之类的工具轻松检测到攻击者。但是,蓝队有时可能会被忽视的一种攻击方法是利用系统上已经存在的现有二进制文件(LOLBins)。该方法最流行工具之一是certutil,它是Windows操作系统上的命令行程序,用作证书服务的一部分。它可用于配置证书服务、验证证书以及更多与证书相关的活动。CertUtil中的一个命令参数——urlcache,可用于执行URL缓存管理操作——攻击者已经意识到他们可以使用该工具来下载恶意文件,但是如何检测呢?
检测恶意certutil活动的一种简单方法是通过CertUtil.exe的“urlcache”参数查找正在启动下载的文件。CertUtil通常不用于从Web下载可执行文件或文件,因此当它从互联网下载文件时应被视为可疑活动。
红队工具三:Metasploit
被红队和对手广泛使用的另一个红队工具是Metasploit,一种非常流行的攻击框架,用于渗透测试和恶意活动。
Metasploit有很多功能,最常见的是对手和红队用它来实现横向移动和在远程系统上执行操作。实现此目的的最常见技术之一是滥用PsExec进行服务安装。
检测Metasploit活动的一个简便的好方法是查找包含与Metasploit的PsExec工具使用的模式名称一致的服务安装,同时在“Windows”目录中查找具有相同名称的二进制文件。攻击者和红队可以更改此命名约定,但许多人并没有意识到这一点。
`黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
