ATT & CK
sojrs_sec
sojrses@163.com
展开
-
ATT & CK 阶段之Persistence -- Scheduled Task
前言在黑客攻击某台机器之后,为了防止会话中断而失去机器的控制权限,黑客常会通过计划任务的手段来维持自身的权限。在Windows系统中,常通过at;schtasks进行设置。常见攻击方式atschtaskscron缓解方式审计系统配置,禁用system权限执行计划任务授权账号管理。只允许管理员相关用户配置计划任务检测方式监控相关进程的执行和命令行参数。如win10监控svchost.exe,而更早版本的使用taskeng.exe,计划任务存储在%systemroot%\Syste原创 2020-05-12 16:55:38 · 621 阅读 · 1 评论 -
ATT & CK 阶段之Execution -- WMI
WMI简介Windows Management Instrumentation:是Windows管理功能,主要是为本地和远程访问Windows系统组件提供环境。依靠于Wmi服务进行本地或远程访问,同时需要SMB及RPCS(135端口)进行远程访问。攻击者通过WMI可以进行远程交互,用于后续渗透的信息收集或远程执行命令。缓解措施特权账号管理,防止系统账号和特权账号凭证相同用户账号管理:默认只有管理员账号才可以通过WMI远程连接。可严格控制所有用户无法通过WMI远程连接检测方式网络监控:监控使原创 2020-05-09 17:35:04 · 649 阅读 · 0 评论 -
ATT & CK 阶段之 Execution -- CMSTP
前言ATT&CK 阶段之Executon即执行:当黑客入侵成功之后,往往会通过一系列的命令去获取信息、创建持续性会话。本文主要讲解通过cmstp.exe命令执行,调用恶意的dll或者com脚本(sct)。这种方式可以绕过applocker或者其他白名单的防御方式以及UAC.cmstp基本命令使用cmstp.exe /s /ns C:\Users\ADMINI~W\AppData\Local\Temp\XKNqbpzl.txt在cmd中执行cmstp.exe -h安装配置cmstp.e原创 2020-05-09 08:45:03 · 1565 阅读 · 1 评论 -
使用sysmon监控日志进行分析
前沿在ATT & CK分析过程中,经常会涉及到进程执行的流程分析,通过常规的工具检查有点低效,听说sysmon可以实现该功能,于是尝试安装看看sysmon安装工具下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon下载后放置本地桌面目录,管理员启动cmd切换到本地目录,注册sysmonsysmon6...原创 2020-05-07 23:51:56 · 2837 阅读 · 0 评论 -
inf 格式详解
概况在ATT&CK 战术学习中,我们经常会看到使用inf安装文件进行绕过从而达到命令执行效果的情况,从网络上包括微软官方,发现对inf中涉及到的sections内容不是很完整,sections里面的条目的材料就更少了,本文简单介绍一种方法去了解inf中涉及到的sections及条目常用inf格式首先我们来看一个黑客经常利用的inf文档[version]Signature=$chi...原创 2020-05-07 23:28:40 · 3299 阅读 · 0 评论 -
零信任实践之单包认证(SPA)
概况随着零信任概念的越来越火热,产业界也都在考虑如何将零信任的理念落地到实践中。这其中SDP推动零信任的实践路上走出了一大步,所谓SDP又称软件定义边界,理论上来说可以替代传统的物理边界。SDP边界之间自有一套自己的认证和授权体系,与传统的通过账号密码认证不同。在这众多认证和授权体系当中,我们有必要了解一下SPA即单包认证的思路和实践SPA/PK是什么Port Knocking[PK]:字面...原创 2020-04-23 14:08:35 · 19051 阅读 · 3 评论 -
ATT & CK 阶段之Initial Access --Exploit Public-Facing Application
Exploit Public-Facing Application:即攻击对外开放的服务。这些服务通常为Web,也可能是数据库、标准服务如SMB、SSH 或者其他通过sockets能访问到的服务。可选择的攻击手法对外开放的服务主要以Web和数据库为主,针对这两种类型,可以关注owasp top 10以及CWE top 25Owasp top 10注入。如sql注入,OS注入,LDAP注...原创 2020-04-21 15:30:17 · 1615 阅读 · 0 评论 -
ATT & CK 阶段之 Initial Access --Drive-by Compromise
Drive-by Compromise:通过受害者正常浏览网页去获取系统控制权限的一种技术手段。既可以通过浏览器或网页直接进行攻击,也可通过网页去获取相关认证的凭证可选择的攻击手法通过前端代码注入,如JS\IFrame\CSS通过正常的广告渠道付费进行传播恶意广告内容通过网页的交互页面插入恶意代码或对象,该代码可在其他用户端展示,如评论区、公告区典型的攻击流程受害者访问一个被黑客...原创 2020-04-20 14:17:39 · 2087 阅读 · 0 评论