Red Canary近期公布了《2021 Threat Detection Report》,该报告涵盖了众多顶级网络攻击技术到MITER ATT&CK框架的映射。其中,就2020年黑客首选10大Windows网络攻击技术进行了调研。
Meerkat是一款针对Windows终端的信息收集与网络侦查工具,该工具由多种PowerShell模块组成,且不需要预先部署代理,可以帮助广大研究人员针对Windows目标执行包括事件响应分类、威胁搜寻、基线监测、快照比较等任务。
最近在做安全基线检查相关的,网上有一些代码比较零散;也有一些比较完整的项目,比如owasp中的安全基线检查项目,但是收费;还有一些开源且完整的,比如lynis,但是不符合我的要求。
最近,一种利用Powershell的挖矿病毒在企业网络中频繁爆发,该病毒其利用了WMI+Powershell方式进行无文件攻击,并长驻内存进行挖矿。
主机安全(Cloud Workload Protection,CWP)基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供资产管理、木马文件查杀、黑客入侵检测、漏洞风险预警及安全基线等安全防护服务,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系。现支持用户腾讯云外服务器统一进行安全防护,轻松共享腾讯云端安全情报,让私有数据中心拥有云上同等级别的安全体验。
Windows Server 2016从2015年Preview到2016年10月13日发布至今已经过去了3年多的时间,Windows Server 2016 不断秉承微软“移动为先云为先”的战略,为我们带来了很多新的功能,并对其他某些功能做了一些增强。
为什么我们需要白加黑这种攻击方法呢?答:降本增效,我们知道在以后AI+安全崛起的大背景下,社工将会成为攻防演练项目中,成本最低,效率最高的一种攻击方式,而这个时候"白加黑"的成本优势就体现的淋漓尽致了。
Citrix Receiver 是一种轻便的通用软件客户端,并带有类似浏览器的可扩展“插件”架构。Receiver 标 配 有 多 种 可 选 插 件 , 可 在 Citrix Delivery Center 产 品 系 列 ( 如 :XenApp 、 XenDesktop 、 Citrix Access Gateway 和 Branch Repeater)中与前端基础设施进行通信。这些插件支持的功能包括在 线和离线应用、虚拟桌面交付、安全访问控制、密码管理、应用加速、多媒体加速、 服务级监测以及语音 通信。
Citrix Receiver是一种轻便的通用软件客户端,并带有类似浏览器的可扩展“插件”架构。Receiver标配有多种可选插件,可在Citrix Delivery Center产品系列,如:XenApp、XenDesktop、Citrix Access Gateway和Branch Repeater中与前端基础设施进行通信。这些插件支持的功能包括在线和离线应用、虚拟桌面交付、安全访问控制、密码管理、应用加速、多媒体加速、 服务级监测以及语音通信。
近期,火绒监测到“LemonDuck”(柠檬鸭)蠕虫病毒感染量正在持续增加。该病毒入侵用户电脑后,会执行挖矿模块,同时还会通过多种方式在网络中进行横向传播。该病毒在2019年被首次发现,至今依然在不断扩大其影响范围。火绒安全软件(个人版、企业版)可查杀该病毒。
Windows Management Instrumentation (WMI) 使系统管理员能够在本地和远程执行任务。从红队的角度来看,WMI 可用于执行多种活动,例如横向移动、持久性、态势感知、代码执行以及作为命令和控制(C2)。WMI 是几乎所有 Windows 操作系统(Windows 98-Windows 10)中都存在的 Windows 的一部分,这一事实使这些攻击性活动远离蓝队的雷达。
描述: PowerShell 之父 Jeffrey Snover在加入微软之前是搞Linux的, PowerShell 是构建于 .NET 上基于任务的命令行 shell 和脚本语言,在PowerShell里随处看到Linux Shell的影子如ls, wget, curl 等。但PowerShell绝对不是shell的简单升级。 PowerShell 可帮助系统管理员和高级用户快速自动执行用于管理操作系统(Linux、macOS 和 Windows)和流程的任务, 其实可以看做是C#的简化版本还与PHP语言有相似之处(语法),与我们可以采用ISE 集成脚本环境进行PS脚本编写;
Windows 终端是一个新式主机应用程序,它面向你喜爱的命令行 shell,如命令提示符、PowerShell和 bash(通过适用于 Linux的 Windows子系统 (WSL))。 它的主要功能包括多个选项卡、窗格、Unicode和 UTF-8 字符支持、GPU 加速文本呈现引擎,你还可用它来创建你自己的主题并自定义文本、颜色、背景和快捷方式。
CheeseTools这个项目基于MiscTool项目(https://github.com/rasta-mouse/MiscTools)创建,可以帮助广大研究人员实现横向渗透和代码执行。
今天我将教大家如何使用Rubber Ducky在渗透中建立Empire或Meterpreter会话连接。然而对于Ducky而言,想要完成大多数现实场景中的USB攻击,往往需要花费大量的时间去实践。本文
为什么需要 powershell ?存在必然合理。微软的服务器操作系统因为缺乏一个强大的 Shell 备受诟病。而与之相对,Linux 的 Shell 可谓丰富并且强大。
作者:HuanGMz@知道创宇404实验室 时间:2022年6月7日 分析一下最近Microsoft Office 相关的 MSDT 漏洞。 1. WTP框架 文档: https://docs.microsoft.com/en-us/previous-versions/windows/desktop/wintt/windows-troubleshooting-toolkit-portal Windows Troubleshooting Platform (WTP) provides ISVs, OEMs
目录 一丶 PowerShell简介 二丶PowerShell简单命令学习 1.PowerShell简单命令 2.powershell使用标准参数 三丶 powershell 别名命令使用 3.1 别名 3.2 cmd命令的使用 3.3 powershell 别名兼容性 3.4 别名的创建 四丶PowerShell信息 4.1 获取命令的帮助信息 4.2 获取指定命令信息的语法 五丶PowerShell中的变量 一丶 PowerShell简介 二丶PowerShell简单命令学习 1.PowerShell简
Zscaler 的研究人员发现暗网上正在出售名为 Quantum Builder 的构建工具,该工具可以投递 .NET 远控木马 Agent Tesla。与过去的攻击行动相比,本次攻击转向使用 LNK 文件。
背景 早就听说微软的powershell非常强大,凭借它可以全命令行操控windows服务器了。最近终于要在工作中用到它了,于是花了几个小时将powershell的基础教程看了下,这里将学习过程中的一些要点记录一下。 环境准备 欲善其事,先利其器,先准备一个开发环境。 个人的开发电脑是macOS 11.13.3,为了开发powershell脚本,在本机安装了一个windows 7 sp1的虚拟机。 升级powershell版本 win7自带的powershell版本较低,这里将windows 7 sp1里自
不过中间还是有一些波折的,比如从一开始的onmicrosoft邮箱无法发送邮件,到邮箱发送邮件过多导致账号被锁定,还有密码无法更改的,发布到web无法实现的,都一一进行了更正,目前可以良好地满足所有新注册用户。
该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起加油~
相对Excel用户群体有录制宏的方式来学习VBA,在PowerShell的学习上,其实也是非常容易的,有时甚至比学习VBA更简单,在入门的角度来看。
Octopus是一个开源的、基于python的预操作C2服务器,可以通过HTTP/S控制Octopus的powershell代理。
AWR是Automatic Workload Repository的简称,中文叫着自动工作量资料档案库。对于AWR的管理,主要是针对快照和基线的管理而言。比如设定快照的间隔,删除快照,设定快照的保留时间。那对于基线而言则是基线的创建,删除,自动创建等。本文主要描述这2部分的内容。
我不能用官方的镜像,因为我需要在小伙伴构建的 debian 镜像上面安装 dotnet sdk 用来做构建,其实在 docker 里面需要找到一个个文件,然后复制代码
某天忽然发现公司上百台机器中了变种的挖矿病毒DTLMiner,该病毒传播方式有多种,主要利用永恒之蓝漏洞、弱口令、mimikatz抓取域密码,数据库弱口令等方式传播,中毒后的机器会沦为挖矿机。
区别于传统的基于文件的攻击,无文件非恶意软件攻击在内存中运行,不需要利用可执行文件就能达到攻击的目的。无文件非恶意软件本身是系统内置的合法工具,但是被用来执行一些不合法的操作,也就是我们常说的白名单绕过执行。总的来说就是利用Windows 的一部分来对抗Windows。
1 概述 最近出现了一种新型的PPT钓鱼攻击方式,该种钓鱼攻击方式不需要宏就能实现执行powershell的功能,通过网络下载gootkit木马进行控制。 2 分析 样本 MD5:3bff3e4fec2b6030c89e792c05f049fc 在拿到样本我们放到虚拟机中进行执行,可以看到以下,但是这并不会触发攻击 当我们用F5放映这个文档后,并把鼠标放到 Loading…Please wait 这个上面,就可以看到如下的画面,提示我们要启动一个外部程序 这个时候我们在点击启动之后,会看见一个powersh
Powershell对命令行和脚本环境添加了许多新的功能,以此来改善Powershell的管理和脚本脚本交互能力,想对于其他的命令脚本,Powershell有以下特性。
在 SIEM (安全应急事件管理) 搭建中,日志是及其重要的一环。对于黑客掌上的明珠——域控, 它的日志监控是非常重要的,本文将介绍如何通过 WEF(Windows Event Forwarding) 将windows 主机日志汇总到一台中心节点,并输入到ElasticSearch ,最后通过Kibana 的展示。
写在前面的话 其实很早之前,攻击者就已经开始使用合法工具来渗透目标网络并实现横向攻击了。理由很简单:使用合法工具可以降低被检测到的几率,而且进过授权的工具(而并非恶意工具)可以更容易绕过安全防护机制。
这款工具最早被演示于BlackHat London 2019中,Octopus是一个基于python3的开源,可操作的C2服务器,它可以通过HTTP/ S控制Octopus powershell代理。
clrinject是一款可将C#,EXE或DLL程序集,注入另一个进程CLR Runtimes和AppDomain的工具。注入的程序集可访问injectee进程类的静态实例,从而影响其内部状态。
在之前的 Linux 篇提到了自动化安装的原理其实也是脚本安装,只不过安装部分省去了部分人力重复工作,但是 Windows 比较特殊,需要用到 powershell 这款自带的软件,这款软件在 Windows 2008 版本引入后,开启了 Windows 自动化的旅程,由此拉开了 Windows 命令行的序幕,题外话就不提了,如果感兴趣可以参考官方文档,最新的 7.0 还是比较强大的。
Octopus是基于python开发的一款可操作的C2服务器,可以通过HTTP/S控制Octopus powershell代理,其主要目的是要在任何红队行动之前使用,而不是开始与您的整个作战武库和基础设施接触,您可以在开始实际的红队行动之前先使用Octopus攻击目标并收集信息
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
Ansible是自动化运维工具,基于Python开发,实现了批量系统配置、批量程序部署、批量运行命令等功能。Ansible是基于模块(module)和剧本(playbook)工作。
Octopus是基于python3的开源项目,可进行操作的C2服务器,可以通过HTTP / S控制Octopus powershell代理。
Windows操作系统包含各种实用程序,系统管理员可以使用它们来执行各种任务。这些实用程序之一是后台智能传输服务(BITS),它可以促进文件到Web服务器(HTTP)和共享文件夹(SMB)的传输能力。Microsoft提供了一个名为“ bitsadmin ” 的二进制文件和PowerShell cmdlet,用于创建和管理文件传输。
关于PBG PBG的全称为Powershell Backdoor Generator,是一款功能强大的PowerShell后门生成工具,该工具能够生成PowerShell反向后门,并使用Python来对代码进行混淆处理,而且每一次构建后都会提供新的签名以实现检测绕过。 值得一提的是,该工具可以为类似Flipper Zero和Hak5 USB Rubber Ducky这样的热门黑客设备创建有效的Payload,而且广大研究人员也可以使用该工具来测试目标系统针对高级攻击技术的防御能力。 功能介绍 1、H
网络安全已成为数字时代的重要组成部分。网络攻击的扩散对个人、组织和政府都构成了重大威胁。当我们在这个数字环境中前行时,了解网络对手不断演变的战术对我们的整体安全至关重要。
你一定见过Chrome和 Android Studio关于内存和 CPU 巨大消耗的情况。
当我们通过各种方法拿到一个服务器的权限的时候,我们下一步要做的就是后渗透了,而后门持久化也是我们后渗透很重要的一部分,下面我来总结一下windows下常见的后门持久化的方法
exe2hex 将可执行二进制文件编码为 ASCII 文本格式。然后,将结果传输到目标计算机(回显 ASCII 文件比回显二进制数据容易得多)。执行exe2hex的输出文件后,使用或PowerShell(默认情况下在Windows上预安装)还原原始程序。可以使用exe2hex中的内置 Telnet 或 WinEXE 选项自动将文件传输到目标计算机。 Binary EXE -> ASCII Text -> *Transfer* -> Binary EXE
如果我们使用的用户名不是root用户,那么我们需要知道它当前用户是谁,在WSL端运行以下linux命令:
在 Windows Server 2019 和 Windows 10 1809 中,OpenSSH 客户端和 OpenSSH 服务器是可单独安装的组件。 具有这些 Windows 版本的用户应使用以下说明来安装和配置 OpenSSH。
在Windows上安装GNU编译器集合(gcc)和其他GNU组件来启用GNUAutotools。
在 Windows 系统环境中,存在许多需要用户进行身份认证的场景,比如 Outlook 登录、提升授权(用户账户控制)或者锁屏需要解锁时,通过模拟这类场景,很容易让用户上当并且不易被发现。
2017年6月13日,微软官方发布编号为CVE-2017-8464的漏洞公告,官方介绍Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞,黑客可以通过U盘、网络共享等途径触发漏洞,完全控制用户系统,安全风险高危。
领取专属 10元无门槛券
手把手带您无忧上云