来自 应用 2021-04-30 07:08 的文章

高防ip_服务器防御公司_快速接入

高防ip_服务器防御公司_快速接入

Digital Guardian的网络安全高级主管Tim Bandos描述了如何利用Shimcache进行企业级威胁狩猎。企业-广泛的威胁猎杀似乎是一项艰巨的任务,服务器怎么弄ddos防御,而对于没有经验的法医Noob来说,这绝对是一项艰巨的任务。然而,有各种各样的技术可以为你的钱提供最大的冲击,当你决定开始一个威胁狩猎,以寻找邪恶。在这篇特定的文章中,我们将重点介绍如何利用Windows应用程序兼容性缓存,也就是Shimcache,并讨论这样做的好处,因为在这样一个小小的Windows文件柜中可以存储大量的信息操作系统至首先,让我们定义Shimcache实际上是什么。微软在windows95的发布中引入了Shimcache,直到今天仍然是确保与旧二进制文件向后兼容的机制。这是为了防止旧应用程序在操作系统的新版本发布时崩溃。除了跟踪尚未执行但可能已浏览过的可执行文件之外,此缓存还将在系统上执行的二进制文件上存储一条记录资源管理器. 当然这里有一些限制。在Windows XP上,它最多只能维护96个条目;在Windows 7及更高版本上,它最多可以维护1024个条目。如果你还在Windows XP设备上做取证工作,上帝保佑你和仍然在运行的组织操作系统输入为了查看Shimcache的内容,您需要通过取证收集位于c:\windows\system32\config中的系统文件,或者通过管理命令提示符运行下面的查询来导出注册表文件.reg\CurrentControlTemp\MACHINE\CompatEY\CurrentControlManager\windows\temp\LOCAL ControlManager\\垫片.regNote:文件的输出位置将在窗户临时工目录。一次我们有了这些数据,我们现在使用一个由超级书呆子编写的解析器来提取内容。我通常依靠Github上Mandiant的免费软件工具来完成这项工作,因为他们有一群聪明人那里。什么时候我们运行解析器,我们会看到有关上次修改时间、上次更新、文件完整路径、文件大小的信息,&执行Flag.shimcache1.png当我们遍历条目列表时,一定要注意是否有运行过的可疑程序、奇怪的目录位置、拼写错误的二进制文件等。这可能会为机器可能出现的危害提供线索,并允许我们围绕该时间段转转看任何其他指标。通常情况下,这可能需要对设备进行更深入的取证,例如检查$MFT、事件日志和注册表数据;但是,目前Shimcache分析的目的是寻找要提取的线程就这样方法当然是最好的,当你看一台机器时,但是让我们从更大的角度来考虑。我们如何将这个概念应用到整个企业范围内,进行一次令人兴奋的狩猎探险?当然,为了做到这一点,我们需要首先收集整个环境中的所有Shimcache注册表项。如果您正在使用EDR运行Digital Guardian,只需在Additional Commands to Execute框中输入export命令,并使用输出文件路径配置Additional Files to Retrieve部分。当然,根据您所部署的技术,或者甚至只是编写一个自定义脚本来提取这些数据,有多种方法可供选择,但请相信我;绝对值得!一旦这些数据被拉回来,企业ddos防御,我们就利用Mandiant脚本搅乱所有的输出并以CSV格式存储。现在,我们有了一个跨整个企业的历史流程执行存储库。但我们还没说完!为了分析这些信息,高防CDN对接,有几个选项。我们可以利用我们的Grep-Fu-ninja技能,编写一些过于复杂的regex查询,再加上一些awk&sed;或者,get攻击怎么防御cc,我可以在这个盒子上安装一个Splunk转发器,并将其输入到一个分析工具中,这将使我的生活变得非常轻松!如果您没有Splunk,那么您可以始终利用ELK堆栈(Elastic/Logstash/Kibana),也可以使用Splunk的免费许可证,因为数据的大小相对较小。不管怎样,这绝对是关联所有这些的最简单的方法数据。下一个,我们希望构建一个仪表板,将这些信息可视化到不同的部分,其中查询的重点是一般可疑活动。我们的图表的顶部将包含一些令人瞠目结舌的关于所有独特应用程序、总端点以及扩展的统计信息观察到.shimcache4.png Blog post什么是威胁搜索?威胁检测的新焦点现在读到下一步,我们要关注在Shimcache工件中查询可疑活动。下面是一些可以用来做这件事的表格分析。单一character binariesshimcache5.png regex Application="^\w{1}\.exe$"两个字符的Binariesshimcache55.png regex Application="^\w{2}\.exe"从Tempshimcache6.png regex Application\udirectory="(\\\\windows\\\\temp | \\\\\appdata\\\\local\\\\temp)"(和从124sife.png文件中可以找到更多的文件,但这些文件中有很多错误Application="(crss | lsas\.exe | serv1ces | expl0rer | scvhost | svch0st | svchosts | suchost | rundll\.exe | rund11\.exe | rund1132\.exe | rundl64)"密码转储程序shimcache9.png regexApplication="(cachedump | credump | g32\\-|g64\\-| gcx64 | gcx32 | gse\.exe | pwdump | pwhash | getlsasrvaddr | gsecdump | hash32\.exe | hash64\.exe|iam.exe文件|iam alt | lsasecretsdump | lsasecretsview | lsass | lz77 | mimi_morph | mimikatz | mimilove | netpass | passwordfox | pstpassword | routerpassview | samdump|wca.dll|wce.exe文件|wceaux |谁在这里|无线无缆泵| qua本市| Ophtrack | ACHASH | ace64\.exe |可疑二元船sshimcache10.png regex Application="(rexec | xcmd 124; servpw64 | psexe 124; lcx 124; ^ nc | exe 124; exe 124; nping。\exe | NCE | winrm | winrm\.cmd 124; winrs\.cmd | nbtscan \.exe | wmiexec | smb扫描|斯扫描|除除除除ql\.exe | ^[0-9]{1,免费的ddos防御,5} \.exe)"可疑文件夹执行shimcache11.png regex Application_Directory="(RECYCLER | Recycle | Cookies | Users\\\\NetworkService |\\\\AppData\\\\Roaming\\\\Identities\\\\\\\\\\\\\\\开始菜单\\\\\\\\\windows\\\\security)"PsExec Usageshimcache12.png search Application="*psexe*"这实际上只是少数可以利用的查询你的威胁搜索仪表盘。最终,当您在整个企业中构建更多搜索时,应用有关您自己环境的上下文知识并消除任何噪音将是您的最终目标。我个人最喜欢的一个是PsExec用法查询,因为它经常可以发现运行横向移动工具的可疑目录。调查这些类型的发现可能会导致一些非常有趣的结果,以寻找潜力入侵。如果这是你必须参与的威胁狩猎计划的一部分,我强烈建议你这样做。在我职业生涯的早期,我学到的一个教训是"永远不要让一个事件白白浪费"。虽然成功的入侵发生时总是很不幸的,但这也是一个希望获得额外资金和/或资源的机会,以帮助打好这场战斗!狩猎快乐!标签:威胁狩猎