0X03讯息 作为勒索组织的加密货币使用和目标的一部分,观察到以下内容 勒索软件操作中的加密货币使用 加密货币在哈希租赁、自营运营中的使用 用作诱饵和武器化文档的加密货币主题 勒索组织为了防止被追踪,会对加密货币行业有一定了解...它是网络上存在的一个庞大的搜索引擎网络,可以精确定位用户名或电子邮件地址。它不仅有详尽的服务列表,例如电子邮件查找、论坛用户、加密网站用户、约会网站查找,还可以分析网页并提取该页面上的所有电子邮件。...禁用宏,LOCKY勒索软件主动利用Office文档中的漏洞。如果出现为您只想阅读的文档启用宏的弹出窗口,请勿单击“是”。通过启用宏,勒索软件可以在设备上执行。...仅当您理解并被授权使用控件时才启用控件。安装弹出窗口拦截器;禁用自动播放以防止恶意软件自动运行;禁用文件共享,这可以帮助限制勒索软件传播到其他共享网络位置。...确保安装的防病毒软件保持最新状态,并根据供应商最佳实践适当配置安全功能。禁用 Windows powershell。如果可能,应使用应用程序白名单禁用或限制 powershell。
读取域控上所有域用户的Hash值 使用PowerShell命令抓取内存中的密码 PwDump7抓取密码 HashQuarksPwDump抓取密码Hash 通过SAM和System...LM Hash本质是DES加密,尽管LM Hash较容易被破解,但为了保证系统的兼容性,Windows只是将LM Hash禁用了(从Windwos Vista和Windows Server 2008开始...LM Hash明文密码被限定在14位以内,也就是说,如果要停止使用LM Hash,将用户的密码设置为14位以上即可。...是上一步查找lsass进程的地址,注意替换 !...仅可以使用SID=500的用户进行哈希传递攻击,而SID=500的用户默认为administrator。所以,主机管理员最好也禁用administrator用户。
-amin n: 在过去n分钟内被读取过, 查找系统中最后n分钟访问的文件 -cmin n: 在过去n分钟内被修改过, 查找系统中最后n分钟被改变文件状态的文件 -mmin n: 在过去n分钟内被修改过内容...-atime n: 在过去n天内被读取过的文件,查找系统中最后n*24小时访问的文件 -ctime n: 在过去n天内被修改过的文件, 查找系统中最后n*24小时被改变文件状态的文件 -mtime...n: 在过去n天内被修改过文件内容的文件,查找系统中最后n*24小时被改变文件数据的文件 -empty: 空的文件-gid n or -group name : gid 是 n 或是 group 名称是...-exec选项中执行 find ./ -type f -exec ls -l {} \; 16.根据时间查找并删除,在目录中查找更改时间在14日以前的文件并删除它们 find ./ -type f -mtime...+14 -exec rm {} \; 17.在目录中查找后缀为**.log**的文件且更改时间在14日以前的文件并删除它们,在删除之前先给出提示 find ./ -name "*.log" -mtime
) 2、Azure AD内部网络侦查(包括子模块) 3、后门帐户设置 4、受信任的网络修改 5、禁用邮箱审核 6、禁用反网络钓鱼 7、邮箱删除规则设置 8、通过邮箱转发实现数据提取 9、获得用户邮箱访问权限...10、外部团队访问设置(包括子模块) 11、跨租户同步利用漏洞(包括子模块) 12、eDiscovery漏洞利用(包括子模块) 13、暴力破解 14、MFA篡改 15、用户账户删除 16、SharePoint...漏洞利用(包括子模块) 工具机制&架构 工具要求 1、一台联网的Windows主机; 2、PowerShell v5+(以管理员权限运行); 3、安装好下列PowerShell模块:...PnP.PowerShell Microsoft.Graph.Identity.SignIns 工具限制 当前版本的MAAD-AF仅支持Windows操作系统。...首先,我们需要以管理员权限运行PowerShell,然后切换到本地的MAAD-AF目录中: cd /MAAD-AF 然后使用下列命令运行MAAD_Attack.ps1脚本即可: .
当然最彻底的办法就是禁用Windows脚本宿主,也可以强制对脚本进行签名,以确保仅执行批准的脚本。诸如AppLocker之类的工具还提供了与脚本执行相关的其他约束。...“注册表run key/启动文件夹”是实现持久化的关键动作 在注册表的“run keys”或启动文件夹中添加一个条目,将会导致用户登录时,该程序会运行该条目。...攻击者仅需要用户级别的权限,并具有写入注册表或将有效负载拖放到启动文件夹的功能。 虽然实现起来相对简单,但非常有效。...例如,如果要查找wscript.exe,则应查找具有该名称的二进制文件,也应查找具有原始文件名WScript的任何二进制文件。...凭据对于攻击者而言是如此重要,以致在许多情况下,获取用户名和密码不仅是达到目的的手段,而且是攻击的整个目标。因此,在各种犯罪论坛上,凭据都是可出售的商品,并且有些网站可以追踪公开的凭据转储情况。
该文件被异或0x95加密过,在使用该文件时会对文件进行解密。 ? 解密后的ntuser.dat配置内容,如下图所示: ? ntuser.dat配置内容总体分为两个部分:main和update。...请求64位版本病毒 随后,病毒会使用地址列表中的C&C服务器地址下载挖矿所需的病毒组件,暂时我们发现会被病毒下载至本地病毒仅具有挖矿功能,但我们不排除其将来会下载其他病毒模块的可能性。...此外,Bot程序还有多种攻击方式尚未使用,这些攻击方式可能在未来的某一天被开启,因此也需要防范可能发生的攻击; 3.查找攻击源:加固SQL Server服务器,修补服务器安全漏洞。...,并及时打上永恒之蓝MS17-010等漏洞相关补丁; 6.注意MSSQL,RDP,Telnet等服务的弱口令问题; 7.注意系统账户情况,禁用不必要的账户。...“隐匿者”病毒团伙技术升级传播病毒 暴力入侵电脑威胁全网用户 https://www.secpulse.com/archives/75273.html 12.彻底曝光黑客组织“隐匿者”:目前作恶最多的网络攻击团伙
个人推荐您使用免费的腾讯云开发者实验室进行试验,学会安装后在购买服务器。 按名称或扩展名查找Linux文件 使用find命令行按名称或扩展名查找特定文件。...find /home -user exampleuser -mtime 7 -iname ".db" 查找用户名为exampleuser的用户在过去7天内修改的所有.db文件(忽略文本大小写)。...-not 仅返回与测试用例不匹配的结果。 -type f 搜索文件。 -type d 搜索目录。..."*conf" -mtime 3 第一个命令返回整个文件系统中所有文件的列表,这些文件以字符conf结尾并在过去7天内被修改。...第二个命令过滤exampleuser用户的主目录,查找名称以conf字符结尾并在前3天内被修改的文件。 使用Grep根据内容查找文件 该find命令只能根据文件名和元数据过滤目录层次结构。
例如,可以将恶意负载的不同片段关联起来做出更明智的决定,而仅通过单独地查看这些片段就很难做出决定。 AMSI 功能已集成到 Windows 10 的这些组件中。...这就是调用 AMSI API 的地方。 AMSI 的工作原理 当用户执行脚本或启动 PowerShell 时,AMSI.dll 被注入进程内存空间。...在执行之前, 防病毒软件使用以下两个 API 来扫描缓冲区和字符串以查找恶意软件的迹象。...检测到时停止恶意宏 如果行为被评估为恶意,则停止执行宏。Office 应用程序会通知用户,并关闭应用程序会话以避免任何进一步的损害。这可以阻止攻击,保护设备和用户。...Office 365 AMSI 用户配置 > 管理模板 > Microsoft Office 2016 > 安全设置 1.对所有文档禁用:如果对所有文档禁用该功能,则不会对启用的宏执行运行时扫描。
,并使用web shell在服务器上启用WDigest身份验证,系统上的枚举包括查询网络配置、加入域的计算机列表、用户和操作系统信息以及滩头阵地上的当前用户会话 之后攻击者在几天内会检查哪些用户使用webshell...登录到了beachhead服务器,最后在第七天威胁参与者在系统上执行LSASS转储,并捕获了最近登录系统的管理用户的凭证,在这种情况下由于之前启用了WDigest身份验证威胁参与者可以访问用户的明文凭据...,除了提到的文件和文件夹之外,内部机器证书被审查并随后被泄露,迄今为止,尚未在任何公共转储或销售中发现泄露的信息,在窃取这些信息后威胁参与者很快被逐出网络 时间列表 初始访问 最初的访问始于通过开发...,因为该漏洞通过web shell系统级权限执行命令,后来在入侵过程中他们转储了一个用户的凭据,该用户拥有允许在整个环境中横向移动的权限,在凭证访问一节中有更多关于转储方法的信息 防御绕过 在初始访问期间攻击者上传了一个名为...该注册表值在系统中不存在,这通知攻击者WDigest在beachhead上被禁用 22秒后威胁参与者通过webshell使用以下命令启用了WDigest: powershell.exe Set-ItemProperty
查找软件的安装路径 whereis -b 只查找二进制文件 -m 只查找帮助文件 -s 只查找源代码 -u 排除指定类型文件 -f...只显示文件名 -B 在指定目录下查找二进制文件 -M 在指定目录下查找帮助文件 -S 在指定目录下查找源代码 在文件索引数据库中搜索文件 locate ...,忽略大小写 -path 根据路径查找文件 -ipath 根据路径查找文件,忽略大小写 -amin 过去N分钟内访问过的文件 -atime 过去N天内访问过的文件...-cmin 过去N分钟内修改过的文件 -ctime 过去N天内修改过的文件 -anewer 比参照文件更晚被读取过的文件 -cnewer 比参照文件更晚被修改过的文件...b 块设备 c 字符设备 d 目录 p 管道文件 f 普通文件 l 链接 s 端口文件 -user 按归属用户查找文件 -uid 按UID查找文件 -group 按归属群组查找文件
Linux find 命令用来在指定目录下查找文件。任何位于参数之前的字符串都将被视为欲查找的目录名。如果使用该命令时,不设置任何参数,则 find 命令将在当前目录下查找子目录与文件。...-mount, -xdev : 只检查和指定目录在同一个文件系统下的文件,避免列出其它文件系统中的文件 -amin n : 在过去 n 分钟内被读取过 -anewer file : 比文件 file 更晚被读取过的文件...-atime n : 在过去n天内被读取过的文件 -cmin n : 在过去 n 分钟内被修改过 -cnewer file :比文件 file 更新的文件 -ctime n : 在过去n天内被修改过的文件...-ctime -20 查找 /var/log 目录中更改时间在 7 日以前的普通文件,并在删除之前询问它们: # find /var/log -type f -mtime +7 -ok rm {} \;...查找当前目录中文件属主具有读、写权限,并且文件所属组的用户和其他用户具有读权限的文件: # find .
屏幕保护是Windows功能的一部分,使用户可以在一段时间不活动后放置屏幕消息或图形动画。众所周知,Windows的此功能被威胁参与者滥用为持久性方法。...屏幕保护程序设置存储在注册表中,从令人反感的角度来看,最有价值的值是: HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE HKEY_CURRENT_USER...一旦机器不活动时间段过去,将执行任意有效载荷,并且将再次建立命令和控制的通信。 ?...一旦用户会话变为空闲,屏幕保护程序将执行PowerShell负载,然后将打开一个meterpreter会话。...利用屏幕保护程序的持久性技术的问题在于,当用户返回并且系统未处于空闲模式时,会话将中断。但是,红队可以在用户不在时执行其操作。如果屏幕保护程序被组策略禁用,则该技术不能用于持久性。
10月14日,微软宣布了Windows IPv6堆栈中的一个极为关键的漏洞(CVE-2020-16898,又称“Bad Neighbor”),这意味攻击者可以利用该漏洞发送恶意制作的数据包,从而获取在目标服务器或客户端上执行代码的能力...该漏洞评级为“ Critical”(高危),鉴于漏洞有被利用的可能,我们建议用户尽快更新相关补丁。...成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。...内网等不便安装更新的用户,可以使用微软官方给出的临时变通措施: 禁用 ICMPv6 RDNSS 管理员身份打开PowerShell,复制以下命令运行: netsh int ipv6 set int *INTERFACENUMBER...* rabaseddnsconfig=enable 提示: 命令中*INTERFACENUMBER*需要用户自行查询需要禁用的接口编号,具体操作如下(举例说明): 1、以管理员身份打开PowerShell
原理: 通过在每个代码评估点(如Invoke-Expression)被调用,AMSI可以检查原始的,模糊的脚本的中间版本和最终版本。以这种方式,避免初始的静态筛选的简单技术不再有效。...看看RyanCobb的DerbyCon演讲。『13』『14』 调用混淆:通用的PowerShell混淆器,可以应用几种不同的技术并生成独特的混淆样本。...出现的PowerShell终端将禁用所有保护机制。...ScriptBlockLog: 首先,为了避免在禁用AMSI后被检测到,我们需要确保命令的日志没有保存在磁盘上,否则AV将发现我们的活动。...为了禁用它,我们总是在我们的内存空间中用一个空的签名替换这个已知签名的字典。
/home/qa 该命令将返回与搜索条件匹配的文件和目录。仅查找文件或目录,您需要在命令中指定。 仅查找文件或目录 仅对于文件,使用type f开关。...按修改日期 这将查找最近17个小时内修改过的文件 find . -mtime -17 -type f 查找最近10天内修改的目录 find ....-mtime -10 -type d 根据访问或修改查找文件 根据访问的日期或时间查找文件。这使您可以查看在指定时间段内已访问或尚未访问的文件。 查看主目录中最近10天内未访问的文件。...find /home -atime +10 完全在10天前访问的文件 find /home -atime 10 最近10天内访问过 find /home -atime -10 查找最近n天内修改的文件...您还可以/home使用以下命令在最近10天内修改的目录中查找文件: find /home -mtime -10 查找在特定时期内修改的文件。
中可用选项非常之多 -mount, -xdev : 只检查和指定目录在同一个文件系统下的文件,避免列出其它文件系统中的文件 -amin n : 在过去 n 分钟内被读取过 -anewer file :...比文件 file 更晚被读取过的文件 -atime n : 在过去n天内被读取过的文件 -cmin n : 在过去 n 分钟内被修改过 -cnewer file :比文件 file 更新的文件 -ctime...n : 在过去n天内被修改过的文件 -empty : 空的文件-gid n or -group name : gid 是 n 或是 group 名称是 name -ipath p, -path p :...” “最近一次属性修改时间”,这里的atime的单位指的是“天”,amin的单位是分钟 find /tmp –atime +5 //表示查找在五天内没有访问过的文件(也就是5天前天没访问的文件...) find /tmp -atime -5 //表示查找在五天内访问过的文件 ps:在清理日志的时候,一般使用的是——最近一次内容修改的时间 find -mtime +30 -name "*[
用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。...禁用Windows事件日志记录,是最常规红队手法,为了减少可用于安全人员检测和审核的数据量,提高红队活动的隐蔽性,红队人员可以禁用Windows事件日志记录。...在windows各种日志中,最常用被安全人员审计的日志,有应用程序日志,系统日志,安全日志。...实操 1.使用Wevtutil命令清除事件日志 Wevtutil是一个系统工具,可以查找事件日志和发布者的详细信息,也可以使用此命令来安装和卸载事件清单,导出,归档和清除日志,是一个及其好用的系统日志管理工具...github:https://github.com/hlldz/Invoke-Phant0m Phant0m的工作原理如下: 1. 在目标操作系统中检测Windows事件日志服务的过程。 2.
这里列出的是MySQL的一些非运行参数的优化部分,具体如下: (对于使用云主机的用户,下文中的部分优化方法是无法奏效的) 0、使用SSD。...MySQL是单进程多线程的架构。当NUMA采用默认default的分配策略时,MySQL进程会被并且仅被分配到NUMA的一个节点上去。...在平日里经常有删除文件的需求,大概如下: 删除过去N天内都未访问过的文件或者目录(删除N天前访问过的文件) # 注意这条命令很危险! ...这种是很危险的!原因是会误删除文件。 未指定"noatime":那就得看情况,如果/home/fire过去7天没有被访问过,那么就和情况一一样,直接删除。...如果过去7天内,该目录有人访问过,atime肯定是7天之内,那么就会遍历下面的目录,依次按照之前逻辑。但是遍历过程会更改目录的atime。
\d+\.){3}\d+)'|out-null # 外网地址 $Matches.ip # 120.17.50.229 ---- 0x03 内存字符串处理 Select-String 命令 - 在字符串和文件中查找文本...'Hello', 'HELLO' | Select-String -Pattern 'HELLO' -CaseSensitive -SimpleMatch HELLO # 3.在文本文件中查找匹配项(...在指令清单或策略文件“C:\Program Files (x86)\Google\Update\GoogleUpdate.exe”的第 0 行出现错误。 无效的 Xml 语法。...# 6.在子目录中查找字符串 (常用) Get-ChildItem -Path C:\Windows\System32\*.txt -Recurse | Select-String -Pattern '...Microsoft' -CaseSensitive # 7.查找与模式不匹配的字符串 Get-Command | Out-File -FilePath .
在设备的芯片集中驻留在和运行的软件称为固件。虽然任务很复杂,但固件可能受到恶意软件的感染,就像公式间谍组织被抓到一样。基于CPU的(类型I):新式CPU很复杂,可能包括用于管理目的运行固件的子系统。...除了在固件级别易受攻击外,CPU还可以使用直接插入硬件线路的后门进行制造。这种攻击在过去已经研究并证明是可能的。...虽然Office应用需要用户的明确同意才能从文档中执行宏,但攻击者使用社交工程技术来欺骗用户允许执行宏。...防护手段禁用或限制系统内置的工具或脚本,如关闭Office文档的宏功能,禁用或限制Rundll32、Powershell、Mshta等程序的执行。...应用白名单策略,限制可信程序或工具的执行权限,防止恶意代码的注入或执行。启用系统的安全设置,禁用不必要的服务或功能,如PowerShell、宏、WMI等,减少攻击的攻击面。
领取专属 10元无门槛券
手把手带您无忧上云