来自 CC防护 2021-02-20 13:11 的文章

tcp防护_如何解决_H5棋牌防攻击

tcp防护_如何解决_H5棋牌防攻击

在测试安全控制之前,了解组织可能面临的威胁因素是非常有益的。一段时间前,宝塔防御ddos,FireEye的Nick Carr发表了一篇关于一个真正的对手如何运作的文章。我们强烈建议您查看它,以深入了解一组攻击者所展示的功能和行为。我们决定取这个报告的一个子集,并对一些测试功能进行建模。我们称这些测试用例为"龙尾"-商标,版权待定;-)。虽然这些功能并不代表或映射到任何特定的参与者,但我们觉得它们代表了几个参与者共享的tradecraft。以及如何向您的团队展示这篇文章:利用对特定参与者的观察反复进行一系列测试(或"连锁反应")根据测试结果开发检测对于那些不熟悉我们的原子红队测试框架的人来说,这是一套小型的、高度便携的检测测试,cc防御多少ip每小时,路由器有ddos防御,映射到MITRE ATT&CK矩阵中。它的目标之一是允许您将多个测试链接在一起。我们称这些测试为"连锁反应"要了解如何开始测试您的安全控制,请观看按需培训课程:原子红队测试:归零观察敌对行为通过利用FireEye报告和其他来源,我们可以开始设计模拟实际对手行为和能力的测试。首先,我们观察到一个MHT文件诱饵。这是一种可以在Microsoft Word中打开的文档格式,可以包含宏。示例如下:以下是有关MHT文件和宏有效载荷的良好参考:https://www.cyren.com/blog/articles/new-tricks-of-macro-malware攻击者选择此格式的可能原因是为了逃避垃圾邮件过滤器或其他可能寻找更传统文档格式的防御措施的检测。一旦用户通过单击"启用内容"启用宏,可怕的事情就会接踵而至…运行链式反应试验现在我们已经了解了这些参与者的行为和行为,现在是开发测试用例的时候了。在我们的示例中,为了模拟此活动,1g带宽防御ddos,我们为您提供了触发此过程所需的VBA代码:https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/ARTifacts/Chain_Reactions/Chain_reaction_DragonsTail.bat我们不想提供实际的武器化文档;相反,我们把文档的开发和交付给他们的测试环境由蓝色和红色团队来完成。下面是一个VBA代码片段示例,您可以使用它来模拟这个对手。一旦宏被触发,您将注意到宏伸出并执行第二阶段有效负载:您可以看到一些功能的基本示例。该脚本通过创建、执行和删除使用RegSvr32.exe负载的计划任务来设置持久性。(技术10531117)下一个阶段将关闭一个凭证窃取工具。在本例中,我们只使用Invoke Mimikatz。您可以使用其他工具来模拟相同的活动。(技术10861003)我们创建一个文件,并使用称为Timestomping的技术来修改文件的时间属性。(技术1099)然后我们简单地删除文件。这里的指标可能是测试您查看文件修改的能力。虽然这个基本测试并不能捕获对手可能进行的所有活动,但我们希望您能够开始了解如何使用开源报告来编写测试用例。检查控制装置一旦在环境中执行了这些测试,就应该检查控件以查看检测到或阻止了哪些(如果有)活动。在本例中,我们将使用炭黑响应来查找活动:在上面的屏幕截图中,您可以看到执行宏嵌入文档后发生的事件链。从那里,我们确定命令行.exe产生并使用其他技术。发展检测这将有助于我们对这一活动进行各种检测。可能很简单,比如winword.exe文件产卵命令提示符,或基于PowerShell命令行活动的项,用于对文件计时。当Red Canary编写威胁检测报告时,我们会将它们发送给客户,报告如下:您可以看到redcanary分析师检查并确认了标记的事件,以反映影响测试系统的事件。主要收获总之,我们能够对一个特定的参与者进行报告,反复进行一系列测试,并开发检测。这不是我们发布的最后一个测试,我们意识到还有一些差距。但是,我们希望这能为您和您的团队提供一个可靠的方法,以便开始针对威胁参与者展示的一组特定功能和行为进行测试。贡献我们要感谢尼克·卡尔和FireEye对这个群体的出色研究和报道。一如既往,感谢MITRE团队对这些类型的后攻击行为进行了出色的分类和分类。如果您对如何使用原子红队框架模拟攻击者活动有任何疑问,请随时联系。你可以发电子邮件给我们research@redcanary.com。P、 如果你是一个历史迷,ddos攻击简单吗防御,你可能会注意到在美国历史上有两个复活节彩蛋提到原子试验。第一个是指龙尾,第二个是指特定的日期。热门原子红队资源随需应变训练课程:原子红队:归零地原子红队GitHub回购视频:如何使用原子红队测试