一、必备知识点
1、第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作,除去本身漏洞外,提前预知与口令相关的攻击也要进行筛选。
2、排除第三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本
3、由于工具和脚本更新迭代快、分类复杂,那么打造自己的工具箱迫在眉睫
二、案例分析
1.Win 日志自动神器 LogonTracer-外网内网
需要部署在linux云服务器,在win本地上传日志文件实现自动化分析。
项目地址:https://github.com/JPCERTCC/LogonTracer
需要安装配置neo4j、java11、py3、安装Logontracer库等等操作,比较繁琐,见项目安装文档或这篇笔记。
最终效果: