来自 CC防护 2021-02-09 04:36 的文章

cc防护_如何_ddos导致IP被封

cc防护_如何_ddos导致IP被封

各位,被ddos攻击怎么防御,请深吸一口气,跟我说:"Mac是不可妥协的。"每个人都知道这是真的,网安cc防御体系,对吧?攻击Mac是不可能的。好吧,也许大多数人都这么认为,但我们是超级精英网络战士的一部分,他们知道的更多。所有系统都易受攻击。我们的Mac电脑只有在我们想要的时候才会被弹出,我们总是让它们保持更新和锁定。无懈可击。是的。撇开苹果操作系统(macOS)的简单把戏不谈,因为它不像macOS那样是一款纯粹的主流游戏。对Red Canary的检测工程团队来说,幸运的是,防火墙ddos防御设置,我们的客户群中有相当数量的"较小"数字,因此我们有机会在Mac电脑上看到恶意活动,"生活在自由和野外"如果有合法的框架来测试攻击场景,请放心,对手正在使用(或很快就会)相同的技术或工具。在下面的场景中,您将看到Windows常见的威胁威胁实践(TTP)同样适用于Mac电脑。今天我们要分享一个这种活动的例子。深入挖掘:观看亚当·马蒂斯在德比孔的演讲中在Mac电脑上穿越邪恶的视频。Mac上的后攻击在这个例子中,我们看到的非常类似于Windows系统中的情况,只是有一些细微的差异。(一旦PowerShell真正开始出现在OSX上,它会变得非常疯狂)其基本概念是:msexcel被用来通过一个Base-64编码的命令行来启动内置的shell sh。就像我们使用相同类型的Windows活动一样,我们必须对那些有趣的东西进行解码,这对解释周围和后续事件非常有用(就像在Windows上一样)。正如我们在PowerShell文章中提到的,我们自动化解码过程,宝塔如何设置防御CC,以提高检测工程师的效率和整体生活质量。在流程树上行走由于这种"Macsploitation"的乐趣,我们有两个主要的进程树:Excel和Python。我们可以在下面的屏幕截图中以图形方式查看它们。Excel生成的"top"shell有一个很好的编码命令行,您在前面的文章中看到了这一点。虽然这里还有几个,但我们将集中讨论一些感兴趣的内容;树中的其他内容本质上是重复的或微小的变化。第一个命令收集有关系统硬件的信息,第二个命令行使用另一个编码的命令行来执行Python。接下来,我们将继续讨论其他一些有趣的部分,看看Python的原始实例在主机上执行的操作。下面是流程树,它概述了整个活动。收集信息如果你熟悉*nix生态系统,那么pwd是众所周知的;它回答了一个问题,"我(在这个主机上)在世界上的什么地方?"这棵树的其余部分在红色金丝雀时间轴中显示(以及我们的一些检测工程师的注释)要比炭黑响应GUI更容易显示。接下来的两个截图显示了信息收集活动,非常具体地针对这一特定的攻击。在Windows系统上,当敌方获得目标时,您可能会看到诸如whoami或quser、tasklist或netstat之类的命令。在本例中,他们收回了用户的数字ID,这可能是运行某些命令所必需的,并且还查询有关两个特定进程的信息。检查防火墙下一步将显示对手查询是否存在基于主机的防火墙,高防ip和cdn,这在OSX世界中非常常见。类似于对pwd的评论-如果你曾经在mac工作过,你可能对小告密者很熟悉。正如您可能希望对手在Windows上运行netsh防火墙一样,也希望他们在mac上检查防火墙。出站网络连接我们还有一些(已知的坏的)网络连接被Python启动。如果你还记得,在解码后的Base-64中,有一个对urllib的引用——这是我们的Python等价于PowerShell的System.Net.WebRequest和.DownloadString或.DownloadFile。它为以下网络连接奠定了基础。如您所见,总体而言,这与基于Windows的后攻击框架密切相关—恶意使用MS Office应用程序,生成编码命令来收集信息并创建网络连接(用于第二阶段二进制文件、C2通信或横向移动)。这里的主要区别在于它利用了Python而不是PowerShell,这在目前是有意义的。防守球员的关键监视Mac电脑的"坏东西"并不是一个神奇的神秘之旅。对手的ttp基本上还是一样的;您只需要一种方法来监视它们,并分析周围的活动。和往常一样,如果你努力解决这个问题,红金丝雀会来帮助你的编者按:本博客最初发表于2017年1月。它已经根据我们与运行macOS环境的安全团队的对话进行了更新和扩展。