0x01 基础信息具体信息详情ATT&CK编号T1037-001所属战术阶段坚持操作系统windows10创建时间2022年11月26日监测平台火绒安全、sysmon编写人员暗魂攻防实验室网空...
sysmon 的探索之路
点击蓝字 关注我们 Sysmon是一种 Windows 系统服务和设备驱动程序,安装到系统上后,在系统重启后仍保持驻...
ATT&CK实验-T1548-002滥用权限控制机制-绕过用户帐户控制
0x01 基础信息具体信息详情ATT&CK编号T1548-002所属战术阶段权限提升操作系统windows10创建时间2022年11月14日监测平台火绒安全、sysmon编写人员暗魂攻防实验室...
ATT&CK实验-T1134-001访问令牌操作
0x01 基础信息具体信息详情ATT&CK编号T1134-001所属战术阶段权限提升操作系统windows10创建时间2022年11月7日监测平台火绒安全、sysmon编写人员暗魂攻防实验室网...
剖析-看顶流挖矿团伙TeamTNT如何用LKM Rootkit技术隐藏自身
点击蓝字关注我们大家好,我是飞鸟。一位拥有十余年安全经验的斜杠青年:微步在线华东安服负责人/应急响应体系化践行者/Freebuf核心作者&Freebuf 智库专家... ...本人擅长日志、流...
微信社工攻击防护方案
微信聊天作为日常亲友沟通,工作交流的主要方式之一,在用户的潜意识中,往往不会对微信好友时刻保持警惕性,这就给了微信钓鱼攻击者可乘之机,攻击者为了获取目标信任,往往会进行身份伪装。常见的被伪装身份包括求...
干货 | 微信社工攻击防护方案
微信聊天作为日常亲友沟通,工作交流的主要方式之一,在用户的潜意识中,往往不会对微信好友时刻保持警惕性,这就给了微信钓鱼攻击者可乘之机,攻击者为了获取目标信任,往往会进行身份伪装。常见的被伪装身份包括求...
实用蓝队工具| Sysmon分享
背景使用 springboot 时, 当用户向/functionRouter 路由发送 headers 带有 spring.cloud.function.routing-expression 键的 P...
利用超长命令绕过sysmon
前言Sysmon是容易下载安装使用的日志审计应用,每个人都可以查看sysmon记录的内容。这虽然很操蛋,但是这些日志被EDR获取的话,能够在这些产品中看到一连串“有趣的东西”。正文当我们执行sysmo...
基于splunk的主机日志整合并分析
大家都知道,主机日志格式过于杂乱对于日后的分析造成了不小的困扰,而splunk的轻便型、便携性、易安装性造就了其是一个日志分析的好帮手。而如果在每台主机上都装上一个splunk客户端无疑是工作量庞大、...
手工打造基于ATTaCK矩阵的EDR系统
EDR, 终端检测响应系统,也称为终端威胁检测响应系统 (ETDR),是一种集成的终端安全解决方案,它将实时连续监控和终端数据采集与基于规则的自动响应和分析功能结合在一起,是一种用于检测和调查主机和终...
Sysmon+Splunk(ThreatHunting)的实践(二)
本来上期说ThreatHunting效果一般,实践一次不再搞了,这周找到一个别人完美安装的metasploitable3-win2k8.box,就顺手也又试了一下ThreatHunting,虽然也还是...
3