APT-Hunter是Windows事件日志的威胁猎杀工具,它由紫色的团队思想提供检测隐藏在海量的Windows事件日志中的APT运动,以减少发现可疑活动的时间,而不需要有复杂的解决方案来解析和检测Windows事件日志中的攻击,如SIEM解决方案和日志收集器。
APT-Hunter是用于Windows事件日志的威胁搜寻工具,该工具能够检测隐藏在Windows事件日志中的APT运动,如果您是弄威胁情报的人,那么我保证您会喜欢使用此工具的,为什么?我将在本文中讨论原因,请注意,此工具仍为测试版,并且可能包含错误。
使用PSSession连接Exchange服务器管理邮件 导出邮件 导出所有用户的所有邮件 导出指定用户的所有邮件 筛选导出邮件 导出请求记录 使用powershell脚本导出邮件 导出指定用户的所有邮件 导出所有用户的所有邮件 搜索邮件 搜索邮件的常用命令 使用powershell脚本搜索 在Exchange服务器上直接管理邮件 导出邮件 导出所有用户的所有邮件 导出指定用户的所有邮件 使用powershell脚本导出邮件 搜索邮件 搜索邮件的常用命令 使用powershell脚本搜索
在使用Windows系统时,C盘空间爆满是许多用户经常遇到的问题。尽管通过传统方法(如清理临时文件、卸载不必要的软件等)可以在一定程度上缓解这个问题,但有时候,这些常规手段似乎对于某些特殊情况无能为力。特别是对于频繁使用Docker的开发人员来说,巨大的日志文件往往是隐藏的罪魁祸首。
写在前面的话 近期,我一直在我客户的网络环境中分析PowerShell攻击,根据我的分析以及研究结果,我发现了几种方法来帮助研究人员检测潜在的PowerShell攻击。这种方法主要利用的是Windows的事件日志,首先我们需要了解攻击者是如何使用PowerShell来实施攻击的,然后我们再来看一看相关的检测和防御机制。 PowerShell如何被用于网络攻击之中 PowerShell的能力大家有目共睹,近期也有越来越多的攻击者开始在攻击活动中使用PowerShell了。PowerShell是Window
Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方式多种多样,比如注册表、服务、计划任务等,这些都是需要重点排查的地方。另外,需要重点关注服务器日志信息,并从里面挖掘有价值的信息。
Douglas-042是一款功能强大的PowerShell脚本,该脚本可以提升数据分类的速度,并辅助广大研究人员迅速从取证数据中筛选和提取出关键数据。
关于Get-AppLockerEventlog Get-AppLockerEventlog是一款功能强大的Applocker事件日志提取工具,该脚本能够从Windows事件日志中解析所有的事件,并从中提取出与AppLocker相关的所有日志。 该脚本可以帮助广大研究人员收集与事件相关的所有重要信息,而这些信息随后可以应用到信息安全取证、威胁搜索和故障排除等场景。 当前版本的Get-AppLockerEventlog支持提取下列日志信息: EXE DLL MSI 脚本 封装的App部署 封装的App执行
大家好,Windows 应急响应手册v1.1 发布,本次更新最重要的是完善了常规安全检查部分二进制程序签名校验逻辑和添加了二进制程序执行痕迹,同时添加了部分大家常用的工具等,欢迎大家下载、使用、反馈~
没错,就是微软的那个PowerShell,可能有很多同学在Windows上用过,功能还是比较强大的。
当前很难在网络中探测攻击者横向渗透,其中原因有很难获取必要的日志和区别正常与恶意行为。本篇文章介绍通过部署Sysmon并将日志发送到SIEM来探测横向渗透。 工具: Sysmon + Splunk l
近日,腾讯云安全运营中心监测到,微软发布了Exchange多个高危漏洞的风险通告,涉及漏洞编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021-27065,可造成SSRF、任意文件写、代码执行等后果。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 在此次公告中披露了以下漏洞: CVE-2021-26855: 为Exchange中的一个服务器端请求伪造(SSRF)
关于Ketshash Ketshash是一款针对NTLM安全的分析与检测工具,该工具可以帮助广大研究人员基于事件查看器日志来分析和检测可疑的特权NTLM连接,尤其是Pass-The-Hash攻击。 该工具作为“Pass-The-Hash detection”研究的一部分,以完整开源的形式发布给广大研究人员使用。 该工具可以基于下列信息来实现其功能: 1、受监控计算机上的安全事件日志(登录事件); 2、活动目录中的身份验证事件; 工具要求 该工具的使用要求用户账号拥有下列权限: 1、访问远程计算机
在过去的几天里,有很多关于 Microsoft Exchange Server 中几个关键零日漏洞的新闻报道,这些漏洞正在根据以下 CVE 进行跟踪:
使用DAS查看日之前,需要先知道DAS如何安装,参考《0853-7.1.6-如何在CDP集群上安装DAS》,本篇文章主要介绍如何查看DAS中执行的Hive On Tez作业的日志。
WinRM(Windows Remote Management是WS-Management Protocol Microsoft 实现(具体体现为Win RM 服务)。
今天要给大家介绍的Exceptionless是一个基于 .net core的开源日志框架,Exceptionless的意思是:没有异常。Exceptionless可以为ASP.NET, Web API, WebForms, WPF, 控制台和MVC应用程序提供实时错误,功能和日志报告。它将收集的信息组织成简单的可操作数据,这将有助于您的应用程序变得无异常。最重要的是,它是开源的!
文中提及的部分技术可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用! Empire是一个纯碎的PowerShell后期漏洞利用代理工具,它建立在密码学、安全通信和灵活的架构之上。 Empire
【*绿盟科技M01N Team研究岗长期招聘CTF、Pentest、RE、PWN、WEB,请在文末进行了解!】
PowerShell是一种功能强大的脚本语言和shell程序框架,主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows上的默认命令提示符。PowerShell脚本因其良好的功能特性常用于正常的系统管理和安全配置工作,然而,这些特性被攻击者理解并转化为攻击特性,也就成为了攻击者手中的攻城利器,给企业网络造成威胁。
PowerShell一直是网络攻防对抗中关注的热点技术,其具备的无文件特性、LotL特性以及良好的易用性使其广泛使用于各类攻击场景。为了捕获利用PowerShell的攻击行为,越来越多的安全从业人员使用PowerShell事件日志进行日志分析,提取Post-Exploitation等攻击记录,进行企业安全的监测预警、分析溯源及取证工作。随之而来,如何躲避事件日志记录成为攻防博弈的重要一环,围绕PowerShell事件查看器不断改善的安全特性,攻击者利用多种技巧与方法破坏PowerShell日志工具自身数据,以及事件记录的完整性。今年10月份微软发布补丁的CVE-2018-8415正是再次突破PowerShell事件查看器记录的又一方法,本文将细数PowerShell各大版本的日志功能安全特性,及针对其版本的攻击手段,品析攻防博弈中的攻击思路与技巧。
Beats是elastic公司的一款轻量级数据采集产品,它包含了几个子产品: packetbeat(用于监控网络流量)、 filebeat(用于监听日志数据,可以替代logstash-input-file)、 topbeat(用于搜集进程的信息、负载、内存、磁盘等数据)、 winlogbeat(用于搜集windows事件日志) 另外社区还提供了dockerbeat等工具。由于他们都是基于libbeat写出来的,因此配置上基本相同,只是input输入的地方各有差异。 本文按照如下的内容依次进行介绍: 背
ATT&CK 技术项编号为 T1036 的二进制重命名技术,正在被越来越多的恶意软件所采用,本文介绍如何使用多种方法对该技术进行监控与检测。
Active Directory 帮助 IT 团队在整个网络中集中管理系统、用户、策略等。因为它是组织不可分割的一部分,所以这给攻击者提供了机会,利用 Active Directory 的功能来做一些恶意的操作。在这篇文章中,我们可以了解到 DCSync 的原理及检测方法。
在第一部分中,我提供了 PowerShell 的高级概述及其对网络的潜在风险。 当然,如果我们有追踪机制,那么只能缓解一些 PowerShell 攻击,假设我们已经开启了如下模块:
如果我们拿到了一台普通用户权限的windows计算机,想要在内网中横向移动,需要知道域内用户登录的位置,是否是本地管理员,他的组,是否有权访问文件共亨等等。
在之前的文章中,我们专注于追踪和分析从网络中得到的数据。但事实上,在网络中追踪不是唯一的选项。在企业的主机和服务器上有大量的数据集来发掘未知的恶意行为,包括运行的进程,活动的网络连接,监听端口,文件系统遗留,用户日志,自动运行等等。 而这些数据,难点只在于决定关注哪些点来开始你的追踪进程。一旦你决定关注的领域,你可以收集数据,查找可疑的异常,然后做进一步调查。 在这个系列的最后一部分,我们将会描述利用免费工具在主机上进行追踪的一些要点。这些技术首先会帮你发现主机上恶意行为的一些线索——不管你有没有签名或者I
近期接到客户反馈,其网络中有部分 Windows 系统终端机器异常,安全团队经过分析,发现其仍旧是一起网络挖矿事件。
本次版本发布,增加了两种包发行版:snapcraft、Chocolatey。snapcraft 是由 Ubuntu 提供的一个全新的 包管理器,它可以在 CentOS、Ubuntu、SUSE 等12种操作系统下使用。因此,Linux 用户可以更加方便地使用 jcli。命令行自动补全的特性可以大幅提高用户的工作效率,除了 bash 的用户外,zsh 以及 powerShell 的用户,现在也可以使用 jcli 的命令补全特性了。
PowerShell是一种基于任务的命令行shell和脚本语言,构建于.NET之上,通常用于管理基于Microsoft Windows的操作系统的技术(Linux和MacOS也可以使用)。Windows PowerShell的内置命令为cmdlets,用户可以使用其管理计算机,其具有完整的用户开发的脚本语言和丰富的表达式解析程序。
通过各种工具和在线网站,对子域名进行收集,并解析ip。发现主站存在CDN,使用fofa,搜索网站title、js等关键信息和子域名解析的ip对应的C段,发现真实ip。对真实ip的ip段进行扫描,发现一台机器存在Weblogic中间件,使用exp进行测试,发现成功Getshell。
概念 Powershell 是运行在windows机器上实现系统和应用程序管理自动化的命令行脚本环境。你可以把它看成是命令行提示符cmd.exe的扩充,不对,应当是颠覆。 powershell需要.NET环境的支持,同时支持.NET对象。微软之所以将Powershell 定位为Power,并不是夸大其词,因为它完全支持对象,面向对象的便捷可想而知了。其可读性,易用性都非常的完美。 在运维windows 服务器的时候,其作用是非常大的。简洁高效等等。这里我简单用一个我应用的地方来展示一下。 背景
本文分为三个部分,主要介绍了一种实用的powershell脚本静态分析方法,并基于独立于平台python脚本来执行此任务。
威胁狩猎,顾名思义,就是在网络安全的世界中寻找威胁,威胁每天都在变化。因此,开发新技术来防御和检测各种类型的威胁和攻击是我们的责任。
写在前面的话 其实很早之前,攻击者就已经开始使用合法工具来渗透目标网络并实现横向攻击了。理由很简单:使用合法工具可以降低被检测到的几率,而且进过授权的工具(而并非恶意工具)可以更容易绕过安全防护机制。
描述: PowerShell 之父 Jeffrey Snover在加入微软之前是搞Linux的, PowerShell 是构建于 .NET 上基于任务的命令行 shell 和脚本语言,在PowerShell里随处看到Linux Shell的影子如ls, wget, curl 等。但PowerShell绝对不是shell的简单升级。 PowerShell 可帮助系统管理员和高级用户快速自动执行用于管理操作系统(Linux、macOS 和 Windows)和流程的任务, 其实可以看做是C#的简化版本还与PHP语言有相似之处(语法),与我们可以采用ISE 集成脚本环境进行PS脚本编写;
PS C:\>get-process | convertto-html -property Name, Path, Company -title "Process Information" > proc.htm; ii proc. htm
在渗透测试过程中·Windows日志往往会记录系统上的敏感操作,如添加用户, 远程登录, 执行命令等, 攻击者通常会对Windows日志进行清除和绕过。
描述:在上一篇文章中,已经将 Windows Server 业务服务器通过 syslog 的方式将系统日志转发到 远程 rsyslog 日志服务器中,但是由于 rsyslog windows agent 诸多限制(太贵了),所以最终放弃了此方法,从而继续查看是否有其他更好的收集Windows 事件日志的方法,通过搜索引擎,最终找到 Promtail 采集 Windows Server 事件日志的配置方法,这里不得不说到国内关于使用 Promtail 采集 Windows Server 事件日志的资料很少,大多只是只言片语,所以作者在实践中遇到的许多的坑,最终是靠着Loki官方日志、和issue以及不断的尝试,这里记录下以便后续有需求的童鞋,也希望各位看友能多多支持《#网络安全攻防实践》专栏,收获一定大于付出。
如从路径/usr/perl查询perl文件,但不查询路径为”/usr/bin/perl”下的perl文件。
描述: 我们可以利用 Winlogbeat 来进行 Windows 日志监视,大致流程是在要监视的每个系统上安装Winlogbeat指定日志文件的位置将日志数据解析为字段并发送到Elasticsearch可视化Kibana中的日志数据。
我们为了更加保险起见,都会给自己的电脑加入密码,但是这个密码泄露后,还是比较麻烦的!
z9是一款功能强大的PowerShell恶意软件检测与分析工,该工具可以帮助广大研究人员从PowerShell日志的事件记录中检测基于PowerShell实现的恶意软件组件。
4月1日,Guardicore Labs团队发布了一份长期攻击活动的分析报告,此攻击活动主要针对运行MS-SQL服务的Windows系统。分析报告称,此攻击活动至少从2018年5月开始,攻击者会针对目标的MS-SQL进行暴力猜解,成功登录目标系统后,再在系统中部署后门并运行远控工具等恶意程序。这一系列的攻击活动被命名为“Vollgar”。
关于Microsoft365Extractor Suite Microsoft 365 Extractor Suite是一款功能强大的Microsoft 365安全审计工具,该工具基于PowerShell开发,可以帮助广大研究人员对Microsoft 365进行安全研究,并获取相关的审计日志报告。该工具主要由以下两个不同的功能脚本组成: 1、Microsoft365_Extractor:该脚本基于Office 365 Extractor实现其功能,可以提供所有功能并允许自定义开发。 2、Microsof
Empire是一款针对Windows平台的,使用PowerShell脚本作为攻击载荷的渗透攻击框架代码具有从stager生成,提权到渗透维持的一系列功能,无需powershell.exe就可以使用powershell的代理功能还可以快速在后期部署漏洞利用模块,内置模块有键盘记录,Mimikatz,绕过UAC,内网扫描等,可以躲避网络检测和大部分安全防护工具,类似于Meterpreter,是一个基于PowerShell的远控木马(www.powershellempire.com)
在内网渗透测试中,信息收集的深度与广度,直接关系到整个内网渗透测试的成败,本篇文章主要对内网信息收集做简单介绍~
https://github.com/S3cur3Th1sSh1t/WinPwn#sessiongopher---executes-sessiongopher-asking-you-for-parameters
领取专属 10元无门槛券
手把手带您无忧上云