APT级全面免杀与企业纵深防御体系的红蓝对抗

最新推荐文章于 2024-06-30 15:28:33 发布
最新推荐文章于 2024-06-30 15:28:33 发布
阅读量775 收藏
点赞数
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/126116539
版权
本文介绍了Cobalt Strike的C/S架构及其在模拟APT攻击中的应用,包括C2通信配置文件的使用和免杀技术。通过对Cobalt Strike的加壳、火绒和360的免杀方法展示,揭示了免杀的多种策略。同时,文章探讨了企业如何构建纵深防御体系,以应对此类高级威胁,强调了流量分析、行为监控和多维度免杀的重要性。
摘要由CSDN通过智能技术生成

一、Cobalt Strike 快速入门

Cobalt Strike: C/S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透。

Cobalt Strike整体功能了解参考MITRE ATT&CK™

Cobalt Strike的C/S架构

  • 客户端(Client GUI)
    • 团队成员使用的图形化界面
  • 服务器(Team Server)
    • 控制 - Team Server是Cobalt Strike中所有payload的主控制器,与victim的所有连接bind/reverse都由Team Server管理。
    • 日志记录 - Cobalt Strike中发生的所有事件 保存在logs文件夹
    • 信息搜集 - 收集
了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
专栏目录
订阅专栏
APT全面免杀拿Shell
悦分享
08-02 890
现在情况是已经上传了一句话木马,可以执行如:ls、pwd、whoami等命令;不管是python、bash 还是 perl 都反弹不了, 偷不了懒了,就上 msf 吧。
看世界杯学网络安全—防御技术、和红蓝对抗 大总结
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
11-26 2159
看世界杯学网络安全—防御技术、和红蓝对抗 大总结
免杀对抗--知识点总结
金灰的博客
05-18 1413
文件和校验法。
APT之木马静态免杀
Ba1_Ma0的博客
01-26 2389
只是利用指针执行函数过了大部分杀软,可是还是有一些过不了,但是我们可以打组合拳指针执行+类型转换将免杀率提升了一点,但是使用python免杀比使用c语言进行免杀方便除了xor加密,还可以使用aes之类的加密方式,也可以使用python里的Cryptography库进行加解密,大家可以自行研发绕过沙箱的方法还有很多,但是查系统状态也是敏感行为,不过不用担心其实还可以使用第三方工具进行免杀,但是这种方法太过脚本小子,工具的特征过不了多久就会被杀软发现,最好还是掌握自己写代码免杀的技巧。
免杀对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 825
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
小迪安全-免杀对抗+红队APT
m0_73767545的博客
06-03 524
就是利用字眼,对官网域名进行修改,在.com后加上其他字符,例如.com.cn。判断邮箱是否有spf验证(对IP进行校验,满足即可发送),如果无即可伪造。nslookup -type=txt 邮箱域名后缀。
红蓝对抗概述
悦分享
02-01 573
在军事领域,演习是专指军队进行大规模的实兵演习,演习中通常分为红军、蓝军,演习多以红军守、蓝军进攻为主。类似于军事领域的红蓝对抗,网络安全中,红蓝对抗则是一方扮演黑客(蓝军),一方扮演防御者(红军)。在国外的话,进行渗透攻击的团队经常称做红队,在国内称为蓝队实际上应该是比较准确的叫法。安全是一个整体,正如木桶定律,最短的木板是评估木桶品质的标准,安全最薄弱环节也是决定系统好坏的关键。而网络红蓝对抗的目的就是用来评估企业安全性,有助于找出企业安全中最脆弱的环节,提升企业安全能力的建设。
红蓝对抗之蓝队防守:ATT&CK框架的应用
DBappSecurity_的博客
07-15 2703
企业大规模数字化转型的浪潮下,各类网络入侵事件频发、APT和黑客团伙活动猖獗,合规性驱动的传统安全防护建设已无法满足需求。近年来随着各红蓝对抗行动的开展,企业安全建设正逐步向实战化转型,而MITRE(一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织)提出的ATT&CK框架正是在这一过程中能够起到指导性作用的重要参考。 ATT&CK框架在2019年的Gartner Security & Risk Management Summit会上,被F-Secure评为十大关注
企业安全技术体系建设与实践.pptx
10-13
为了防止高持续性威胁(APT),企业需要采取多种措施,如生产环境安全策略,控制高危端口,实行划区治理以按业务隔离,同时进行纵深防御,如入侵行为全过程检测。此外,使用基线模型进行异常检测(UEBA)和终端...
【安全研究】免杀对抗之源码免杀
weixin_46591320的博客
05-16 2798
0x01 免杀分类 渗透测试中常需要免杀马,这块的内容交叉且形式多样。常见的免杀方式,源码混淆、DLL文件替换、文件修改、加壳、花指令免杀、签名等。免杀的内容比较偏向破解、反编译范畴的安全研究,也是武器库中的必不可少的部分。本文章是系列教程,各种免杀方式都会涉及,本次分享的是源码免杀。 0x02 源码免杀 这里以Python做免杀为例,其他语言如C#、GO、Ruby等免杀思路相同。 免杀的大致步骤可以分为如下,视情况可以采用部分步骤: 加载器选择-ctypes-DLL&其他,加载shellcode
BadUSB简单免杀一秒上线CobaltStrike.pdf
03-24
BadUSB简单免杀一秒上线CobaltStrike.pdf
应对APT攻击新方法 威胁检测公司Endgame推出红蓝对抗自学习模式
weixin_33989058的博客
09-01 495
在威胁检测公司Endgame的DNA深处,根植着一对孪生观念:隐形和攻击。这与常见的信息安全观点恰好相反。后者常常把自己打扮成可视的、防护性的。然而,Endgame相信,防护者应该正视现代化对手的攻击手段(隐形攻击),并应按需调整防御措施。 Endgame是干什么的? 据其官网资料显示,Endgame是一个网络操作平台,该平台能够在企业关键基础设置中...
红队攻防渗透技术实战流程:红队目标上线之免杀对抗-Webshell&魔改冰蝎&打乱特征指纹&新增加密协议&过后门查杀&过流量识别
HACKONE的博客
05-27 181
1、webshell工具里面的后门代码不被杀毒检测到-混淆。2、webshell工具里面的功能操作不被杀毒拦截到-魔改。3、webshell工具里面的操作连接不被平台捕获到-魔改。1、环境部署-JAR反编译&打包构建-项目即成功。2、魔改冰蝎-防识别-打乱特征指纹-使用即变异。3、魔改冰蝎-防查杀-新增加密协议-生成即免杀。解决1:绕过识别(魔改打乱特征,新增加密算法)2、反编译打包环境-IDEA安装&反编译工具。新建-填入-保存-分享-导入项目-构建编译。魔改冰蝎-防识别-打乱特征指纹。
红队攻防渗透技术实战流程:红队目标上线之免杀对抗-Webshell&魔改哥斯拉&打乱特征指纹&新增后门混淆&过云查杀&过流量识别
最新发布
HACKONE的博客
06-30 483
这下面的逻辑就是我们再使用模式PHP_XOR_RAW和 PHP_XOR_BASE64生成木马时,会先通过代码中的genenrate找到template模板下的木马文件。通过替换密钥和key后直接按照template模板下的木马生成wenshell,所以我们把原来木马的模板替换成免杀的模板后,替换密钥和key后可直接生成免杀马。setting是控制下面显示的界面 asseet是实现端口扫描的,php目录下的文件是界面的显示的东西。这里定义的生成类,就是要找template下的生成文件。
【转】免杀基础 -免杀技术及原理
tpriwwq的专栏
05-03 2852
免杀的最基本思路就是去除其特征,这个特征有可能是特征码,也有可能是行为特征,只要在不修改其原有功能的情况下,破坏了病毒与木马所固有的特征,一次免杀就能完成。
IDS、恶意软件、免杀技术、反病毒技术、APT、对称加密、非对称加密以及SSL的工作过程的技术介绍
qq_65975148的博客
03-27 1022
IDS、恶意软件、免杀技术、反病毒技术、APT、对称加密、非对称加密、SSL的工作过程
从网络安全热门岗位看红蓝对抗发展趋势
Moyun_vackbot的博客
03-15 8889
目前网络安全行业哪些岗位最热门?以下为SANS发布的2021年网络安全领域最酷的20个岗位: SANS:网络安全领域最酷的20个岗位 从岗位名称及职责描述中我们可以看到,除了安全技术总监、渗透测试、漏洞研究、应急响应等传统热门岗位之外,与红蓝对抗相关的岗位受到了广泛重视: 02 红队(Red Teamer) 04 紫队(Purple Teamer) 07 蓝队(Blue Teamer) 11 OSINT调查员/分析员(OSINTInvestigator / .
Cobalt Strike shellcode免杀360
qq_18193739的博客
08-02 1492
地址:https://github.com/wei930630/go-shellcode-launcher。复制选中的shellcode代码,放入上面C++ xor加密shellcode代码,并运行。将生成的xor编码的shellcode 放入shellcode加载器。使用Cobalt Strike 生成shellcode 代码。使用Cobalt Strike 生成shellcode 代码。将选中的shellcode 代码,复制到新1.txt文件中。将上面的shellcode加载器编译为exe文件。
简单的免杀流程,软件使用方法与一点思路(Cobalt-strike
weixin_74182283的博客
04-04 2018
字面意思,就是恶意软件或者木马,通过对其进行修改,导致杀毒软件扫描时会默认这款恶意软件是个安全的软件,导致恶意软件成功上传到电脑。通常在渗透测试的过程中,想要进入别人内网,就需要通过一些木马或者一些程序上传至别人内网,从而得到对方内网的权限。正常情况下,linux内可能没啥杀毒软件,但windows系统下的杀毒软件就各种各样,而我们的木马刚传上去就会被杀掉,这时如果懂得如何去对上传的马做一个免杀,使其顺利通过防火墙就显得非常重要了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值