先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
正文
关联的组账号,并且检查TOKEN_GROUPS 中是否包含管理员组:
8、使用 net use 控制共享网络连接
9、枚举文件
防御规避
该样本为了避免数据的恢复及取证溯源工作,做了如下的工作:
1、该样本使用了 TLS 回调函数
2、命令行参数启动
该样本通过 GetCommandLineW 函数获取该程序的命令行参数
3、关闭某些进程和服务
为了尽可能多得加密文件,避免文件被占用,勒索程序还会关闭一些进程和服务。配置中设置了需要关闭的进程列表和服务列表:
(1)关闭服务
调用 OpenScManagerW 查询服务控制管理数据库
枚举服务存活状态的服务 (0x1 = SERVICE_ACTIVE)
终止目标服务器 (0x1 = SERVICE_CONTROL_STOP)
(2)关闭进程
枚举所有进程
中断进程
4、调用 vssadmin.exe 和 wmic 删除系统备份
5、关闭系统 BCDedit 中的自动修复功能
6、枚举服务器/客户端中所有的事件日志列表,然后清除系统中所有的事件日志
提权
1、绕过 UAC
该恶意软件尝试使用 CMSTPLUA COM 接口绕过 UAC,如调用 CoInitializeEx 函数来初始化当前线程的COM 库 (0x2 =
COINIT_APARTMENTTHREADED)
调用 CoGetObject 函数,将显示名称修改并绑定为一个自提权 CMSTPLUA
的接口interfaceElevation:Administrator!new:{3E5FC7F9-9A51-4367-9063-A120244FBEC7}
从下图可以看出,初始低权限样本启动了一个提权后的“自己”,随后退出程序
2、API 提权
获取当前进程的令牌句柄 (0x80000000 = GENERIC_READ)
查看系统权限 SeTakeOwnershipPriviledge 的特权值
在指定的访问令牌 SeTakeOwnershipPriviledge 上启动该权限
所有提升的权限如下所示:
SeIncreaseQuotaPrivilege,SeSecurityPrivilege,SeTakeOwnershipPrivilege,SeLoadDriverPrivilege,SeSystemProfilePrivilege,SeSystemtimePrivilege,SeProfileSingleProcessPrivilege,SeIncreaseBasePriorityPrivilege,SeCreatePagefilePrivilege,SeBackupPrivilege,SeRestorePrivilege,SeShutdownPrivilege,SeDebugPrivilege,SeSystemEnvironmentPrivilege,SeChangeNotifyPrivilege,SeRemoteShutdownPrivilege,SeUndockPrivilege,SeManageVolumePrivilege,SeImpersonatePrivilege,SeCreateGlobalPrivilege,SeIncreaseWorkingSetPrivilege,SeTimeZonePrivilege,SeCreateSymbolicLinkPrivilege,SeDelegateSessionUserImpersonatePrivilege
持久化
为了避免影响系统和勒索软件的正常运行,对一些关键的系统、应用程序文件夹和一些关键组件不进行加密操作
1、配置中包含避免加密的文件扩展列表
themepack,nls,diagpkg,msi,Ink,exe,cab,scr,bat,drv",rtp",“msp”,“prf”,“msc”,“ico”,“key”,“ocx”,“diagcab”,“diagcfg”,“pdb”,“wpx”,“hlp”,“icns”,“rom”,dll",“msstyles”,“mod”,“ps1”,“ics”,“hta”,“bin”,“cmd”,“ani”,“386”,“lock”,“cur”,“idx”,“sys”,“com”,deskthemepack",“shs”,“Idf”,“theme”,“mpa”,“nomedia”,“spl”,“cpl”,“adv”,“icl”,"msu
2、避免加密的文件夹,包括但不限于
systemvolume information, intel, $windows.~ws, application data, $recycle.bin,
mozilla, $windows.~bt, public, msocache, windows, default, all users, tor
browser, programdata, boot, config.msi, google, perflogs, appdata, windows.old
3、避免加密的文件名,包括但不限于
desktop.ini, autorun.inf, ntldr, bootsect.bak, thumbs.db, boot.ini,
ntuser.dat, iconcache.db, bootfont.bin, ntuser.ini, ntuser.dat.log
文件加密
调用 BCryptGenRandom 函数生成 16 个随机字节,用来生成 AES 密钥
从文件头开始遍历文件
被加密文件添加后缀
写入勒索信
Json 格式文件包含 AES 加密算法,用于加密文件的 AES密钥,调用 BCryptGenRandom 函数生成 0x82(130)个随机字节,与
json 配置文件中的密钥总共占用缓冲区大小为256 字节
调用 bcryptGenRandom 生成随机四字节,将被加密文件的内容与 AES 密钥使用四字节分开
包含 AES 密钥的缓冲区被配置文件中的 RSA 公钥加密,加密密钥大小为 0x100,写入文件,文件内容使用 aesenc and aesenclast
命令进行 AES-128 算法加密,使用writeFile 将加密后的内容写入文件
内嵌配置信息
Json 配置中包含:
1、 被加密文件的扩展
2、 被AES密钥加密的RSA公钥
3、 勒索信名称和内容
4、 受害者环境被盗的凭据
5、 AES加密算法
6、 终止的服务和进程列表
7、 避免加密的文件夹、文件和文件扩展
8、 网络发现、横向移动、桌面壁纸设置、终止VMware ESXI虚拟机、清除VMware ESXI虚拟机快照、从终端中排除VMware ESXI
横向移动
枚举所有连接到网络中的服务器,该进程首先会广播 NetBIOS 名称服务 (NBNC)
消息来检查这些附加的设备,然后试图通过PsExec使用配置文件中的凭据复制自身到响应的服务器中。
调用 SHTestTokenMenbership 函数,判断当前用户是否属于本域中的管理员组(0x220 =
DOMAIN_ALIAS_RID_ADMINS),识别当前用户是否具有域管理员权限,以便加密更多的设备。
调用 NtQueryInformationToken 函数检索与当前令牌(0x2 = TOKEN_GROUPS )关联的组账号,并且检查
TOKEN_GROUPS 中是否包含管理员组:
资料分享
【----帮助网安学习,以下所有学习资料免费领!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
网络安全的知识多而杂,怎么科学合理安排?
下面给大家总结了一套适用于网安零基础的学习路线,应届生和转行人员都适用,学完保底6k!就算你底子差,如果能趁着网安良好的发展势头不断学习,日后跳槽大厂、拿到百万年薪也不是不可能!
初级网工
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
58a3c79c775da.gif#pic_center)
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
[外链图片转存中…(img-Wbg6klzo-1713441377663)]
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
555
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
