TL;DR 在应急遇到windows系统的时候经常会使用Sysinterna Suite套件,这个套件是由Mark Russinovich开发,Sysinternals Suite工具套件是免费的,大...
一文看懂Windows网络安全终端应急响应的那些工具
在发生很多网络安全事件时,为了抑制影响面,分析主机存在的异常行为,往往我们需要借助很多工具去辅助应急人员或者安全分析人员,快速地对相关事件展开相关工作。但是面对市面上各类五花八门的工具,却不能很好的选...
免杀—Sysmon Bypass
介绍sysmon系统监视器(sysmon) 是一种 Windows 系统服务和设备 驱动程序,该驱动程序一旦安装在系统上,就会在整个系统中保持驻留 重新启动以监视系统活动并将其记录到 Windows ...
伪造调用栈来迷惑EDR和杀软
调用栈调用栈是EDR产品一个被低估但通常重要的遥测数据源。它们可以为事件提供重要的上下文,并在确定误报和真正阳性(尤其是在凭证盗窃事件,例如对lsass的句柄访问)方面成为一个极其强大的工具。已经有一...
有人偷了我的 RID:探索 RID 劫持 TTP
此技术是一种通过秘密修改帐户以授予管理权限而不将其添加到本地管理员组来建立本地持久性的方法。我们将探讨如何执行此攻击,以及它在 Sysmon 和 Windows 事件日志中的样子。 介绍...
Windows SysInternals Sysmon 权限提升 (CVE-2023-29343) 漏洞的 PoC 发布
在动态的网络安全世界中,威胁不断演变,系统管理员和日常用户都需要保持警惕。安全研究员 Filip Dragović公开发布了针对 Microsoft Windows SysInternals Sysm...
Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343) -POC公开
Windows SysInternals Sysmon 权限提升漏洞(CVE-2023-29343)Sysmon 是 Sysinternals 工具集中的一款命令行工具,它可以在后台对 Windows...
应急实战(14):巧妙的恶意程序
目录1. Preparation 1.1 开启日志记录 1.2 优化日志策略 1.3 部署安全产品2. Detection 2.1 安全产品告警3. Containment ...
应急实战(9):一次简简单单的应急
目录1. Prepare 1.1 开启日志记录 1.2 优化日志策略2. Detect 2.1 运维发现3. Contain 3.1 暂无需要遏制的事项4. Eradicate...
应急实战(8):一次平平无奇的应急
Prepare开启系统日志记录开启中间件日志记录开启数据库日志记录Detect华为云告警Contain切断主机网络终止恶意进程删除恶意程序Eradicate清除自启服务后门未发现其他后门漏洞入口排查修...
蓝队技术——Sysmon识别检测宏病毒
前言在不断变化的网络安全环境中,提前防范威胁是非常重要的。本文将以 Microsoft Office 宏病毒钓鱼为例,介绍如何使用 Sysmon 来获取和分析 Windows 系统日志,揭示隐藏的恶意...
一种新的EDR致盲技术
part1点击上方蓝字关注我们往期推荐真主党寻呼机和对讲机同时爆炸背后的技术原理分析无私钥绕过客户端非对称加密算法利用Microsoft内核Applocker驱动漏洞过程利用过期域名实现劫持海量邮件服...