> urlmon.dll!CPolicyBrowserModeFilter::_EnsureFilterIfNoDataFound C++ urlmon.dll!CBrowserModeFilter::_EnsureBrowserModeFilter C++ urlmon.dll!CBrowserModeFilter::IsIE7Mode C++ fast_mb.exe!GetBrowserEmulation C++ fast_mb.exe!WebBrowser::OnNavigateComplete2 C++ fast_mb.exe!WebBrowser::Invoke C++ ieframe.dll!EnumInvokeCallback 未知 ieframe.dll!EnumConnectionPointSinks 未知 ieframe.dll!IConnectionPoint_InvokeIndirect 未知 ieframe.dll!DoInvokeParamHelper 未知 ieframe.dll!FireEvent_NavigateComplete 未知 ieframe.dll!CBaseBrowser2::v_ActivatePendingView 未知 ieframe.dll!CWebBrowserSB::v_ActivatePendingView 未知 ieframe.dll!CBaseBrowser2::_ExecShellDocView 未知 ieframe.dll!CBaseBrowser2::Exec 未知 ieframe.dll!CWebBrowserSB::Exec 未知 ieframe.dll!CDocObjectHost::_Navigate 未知 ieframe.dll!CDocObjectHost::_OnReadyState 未知 ieframe.dll!CDocObjectHost::_OnChangedReadyState 未知 ieframe.dll!CDocObjectHost::OnChanged 未知 mshtml.dll!CBase::FirePropertyNotify 未知 mshtml.dll!CMarkup::SetReadyState 未知 mshtml.dll!CMarkup::SetInteractiveInternal 未知 mshtml.dll!CMarkup::RequestReadystateInteractive 未知 mshtml.dll!CMarkup::BlockScriptExecutionHelper 未知 mshtml.dll!CHtmPost::Exec 未知 mshtml.dll!CHtmPost::Run 未知 mshtml.dll!PostManExecute 未知 mshtml.dll!PostManResume 未知 mshtml.dll!CHtmPost::OnDwnChanCallback 未知 mshtml.dll!CDwnChan::OnMethodCall 未知 mshtml.dll!GlobalWndOnMethodCall 未知 mshtml.dll!GlobalWndProc 未知 user32.dll!_InternalCallWinProc@20 未知 user32.dll!_UserCallWinProcCheckWow@32 未知 user32.dll!_DispatchMessageWorker@8 未知 user32.dll!_DispatchMessageW@4 未知 fast_mb.exe!wWinMain3 C++ fast_mb.exe!wWinMain C++ fast_mb.exe!invoke_main C++ fast_mb.exe!__scrt_common_main_seh C++ fast_mb.exe!__scrt_common_main
IE有很多比较恶心的弹窗。一般是用put silient禁用。但ie的证书弹窗,禁用了的话,页面就不继续加载了。
今天看了个验证码识别的代码,其中引用到了mshtml.dll,找了半天原来就是microsoft.mshtml.dll。查这个dll的时候还发现了好几篇关于这个dll添加问题的文章。顺便看了下,原来这个dll有三个,添加引用时要注意了。 第一篇文章: 1.添加引用的问题 一般在开发环境下会在三个地方存有microsoft.mshtml.dll文件。所以在添加引用时,也会出现三个看似一样的项。对于开发者来说,引用其中任何一个都不会影响到正常的开发。但问题会出在软件发布之后!在客户的机子上运行时,通常会提示文件的签名不正确,无法加载。 解决的方法就是删除现在对mshtml引用。重新选择正确引用。就是选最下面那个。路径是:X:\Program Files\Microsoft.NET\Primary Interop Assemblies\Microsoft.mshtml.dll 。把引用对话框拉大,可以看到文件的路径。 2.类型选择错误 如果问题一解决了,或者开始就选对了。可能客户机了上运行又报 System._ComObject 无法强制转换到 HtmlWIndow2Class 、HtmlDocumentClass或其它类似的错误。在开发者的机子上运行,却完全正常。这时通常我们会狂抓,完全不知是什么原因!在开发环境下用obj.toString()显示是HtmlXXXXClass在客户机上得到结果却是System._ComObject.解决方法很简单用HtmlXXXX替换HtmlXXXXClass即可。 第二篇文章: 也是用到了Microsoft mshtml.dll程序集,但是安装在用户电脑后,异常: System.Reflection.TargetInvocationException: 调用的目标发生了异常。 —> System.IO.FileNotFoundException: 未能加载文件或程序集“Microsoft.mshtml, Version=7.0.3300.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a”或它的某一个依赖项。系统找不到指定的文件。 选择高亮的那个dll就可以了。 属性选择: 复制本地=True 特定版本=false; 原因是: 因为 Microsoft.mshtmal.dll 这个 dll 是从 system32 文件夹下的 mshtml.tlb(COM 类型库文件)中导出的,因此我们只需要用 VS2008 自带的 TlbImp.exe COM 类型库导出工具将这个 tlb 文件再导一遍就可以了。
根据我们的推断,排除第1和第3种情况,第2种情况采用试一试的态度,按照步骤做了一下
1.本文一共3960个字 30张图 预计阅读时间12分钟2.本文作者erfze 属于Gcow安全团队复眼小组 未经过许可禁止转载3.本篇文章从CVE-2012-1876漏洞的分析入手 详细的阐述漏洞的成因以及如何去利用该漏洞4.本篇文章十分适合漏洞安全研究人员进行交流学习5.若文章中存在说得不清楚或者错误的地方 欢迎师傅到公众号后台留言中指出 感激不尽
1.本文一共个字 张图 预计阅读时间分钟2.本文作者erfze 属于Gcow安全团队复眼小组 未经过许可禁止转载3.本篇文章是CVE-2016-0199漏洞的分析入手 详细的阐述漏洞的成因4.本篇文章十分适合漏洞安全研究人员进行交流学习5.若文章中存在说得不清楚或者错误的地方 欢迎师傅到公众号后台留言中指出 感激不尽
When question comes 你一定在 HTML 页面最前面看到过这样一行代码(比如 百度): <!DOCTYPE html> 或者说类似这样的(比如 博客园-韩子迟 PS:博客园首页 文档类型声明同百度): <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 那么问题来了。 这行代码有什么用? 去掉它会有什
cve-2012-1873同样是一个著名的堆溢出漏洞,他是IE6-8中MSHTL.dll中的CTableLayout::CalculateMinMax函数里,程序在执行时会以HTML代码中的元素span属性作为循环控制次数向堆中写入数据。第一次会优先根据span申请堆空间,当我们增大span的值后,却不会改变堆空间大小,这样就可以造成堆溢出。
漏洞利用,(service postgresql start启动msf数据库 )通过msfconsole命令启动matesploit漏洞渗透平台。通过search ms08_067模块进行利用。
0x00 引子 最近开始要在部门内进行 WinDbg 漏洞分析方面的专题showcase,打算将每次分享的内容整理成文章,希望能写一个系列。另外,鉴于笔者还在学习中,不对的地方还望各位多多指正:D 0x01 概述 本文将作为此系列的开篇,首先会提及Windows进程的知识,而后就进入正式的漏洞分析,此次选的是一个IE漏洞(CVE-2012-1876)。需要说明一点,随着微软在自身安全上的不断改进,漏洞利用的难度也越来越大,出于学习目的这里主要关注比较经典的漏洞,虽然有些可能比较老了,但还是很有借鉴意义的。
前言 Windows平台的漏洞挖掘和安全研究中,IE始终是绕不开的话题。IE漏洞就跟adobe系列一样经典,是学习exploit、shellcode的绝佳途径。 在IE漏洞中,UAF即Use-After-Free是最为经典的一类。UAF可以这样简单理解:A先后调用B、C、D三个子函数,B会把A的某个资源释放掉;而D由于判断不严谨即使在B把A的资源释放后依然去引用它,比如某个指针,这时D引用了很危险的悬空指针;C是个什么角色呢?我们可以通过B分配数据。所以利用方法来了:构造奇葩的数据,让A调用B,B把A的某个
解决Generic Host Process for Win32 Services错误的问题,这个错误一般有三种情况。
解决WIN补丁系统开机后弹出Generic host process for win32 services 遇到问题需要关闭! 出现上面这个错误一般有三种情况。 1.就是补丁。开机后会提示Generic Host Process for Win32 Services 遇到问题需要 关闭”“Remote Rrocedure Call (RPC)服务意外终止,然后就自动重起电脑。一般该病毒会在补丁HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 下建立msblast.exe键值,还会在c:/windows/system32目录下会放置一个msblast.exe的补丁程,解决方案如下: RPC漏洞 详细描述: 最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个补丁漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。如果攻击者补丁利用了该漏洞将获得本地系统权限,他将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等. 已发现的一个攻击现象: 攻击者在用户注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 下建立一个叫“msupdate”(估计有变化)的键,键值一般为msblast.exeC:/windows/system32目录下会放置一个msblast.exe的木马程序. 另外受攻击者会出现“Generic Host Process for Win32 Services 遇到问题需要关闭”“Remote Rrocedure Call (RPC)服务意外终止,Windows必须立即重新启动”等错误信息而重启。 建议到补丁补丁相应补丁。如果已受攻击,建议先拔掉网线,在任务管理器中结束msblast.exe进程,清除注册表中的相应条目,删除system32下的木马程序,最后打补丁。
解决WINXP系统开机后弹出Generic host process for win32 services 遇到问题需要关闭! 出现上面这个错误一般有三种情况。 1.就是病毒。开机后会提示Generic Host Process for Win32 Services 遇到问题需要 关闭”“Remote Rrocedure Call (RPC)服务意外终止,然后就自动重起电脑。一般该病毒会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立msblast.exe键值,还会在c:\windows\system32目录下会放置一个msblast.exe的***程,解决方案如下: RPC漏洞 详细描述: 最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。如果***者成功利用了该漏洞将获得本地系统权限,他将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等. 已发现的一个***现象: ***者在用户注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下建立一个叫“msupdate”(估计有变化)的键,键值一般为msblast.exeC:\windows\system32目录下会放置一个msblast.exe的***程序. 另外受***者会出现“Generic Host Process for Win32 Services 遇到问题需要关闭”“Remote Rrocedure Call (RPC)服务意外终止,Windows必须立即重新启动”等错误信息而重启。 建议到http://www.microsoft.com/security/security_bulletins/ms03-026.asp下载相应补丁。如果已受***,建议先拔掉网线,在任务管理器中结束msblast.exe进程,清除注册表中的相应条目,删除system32下的***程序,最后打补丁。
本文介绍了在Windows系统漏洞挖掘过程中,利用系统异常处理流程中的ATL thunk emulation,绕过DEP保护,达到控制内存、执行任意代码的目的。通过漏洞利用技术,可以绕过一些安全措施,使得攻击者可以执行恶意代码。
微软昨日表示,黑客们正利用存在于IE8与IE9之中尚未修复的某个关键性安全漏洞,目前公司的工程师们正在积极通过更新加以挽救。 与传统处理方式一样,微软对此次威胁采取了淡化处理。 “报告中只列举了数量有限的几条针对IE8与IE9的攻击,不过该问题确实有可能影响所有IE版本,”Trustworthy Computing集团发言人Dustin Childs在上周二早晨的一篇博文中指出。 “我们正在积极开发安全更新,旨在解决这个问题,”Childs补充称。 根据Childs以及今天微软公布的安全咨文的说法,安全漏洞
在渗透过程中,攻击者往往需要通过命令下载执行恶意代码,实现信息收集、持久化、权限提升、防御绕过、提取凭证、横向移动、数据渗出等操作。
据security affairs消息,网络安全专家Igor Sak-Sakovskiy发现了WinRAR的一个远程代码执行漏洞,漏洞编号CVE-2021-35052。 该漏洞出现在WinRAR的Windows试用版本,漏洞版本为5.70,黑客可利用该漏洞远程攻击计算机系统。 Igor Sak-Sakovskiy表示,“这个漏洞允许攻击者拦截和修改系统发送给用户的请求,这样就可以在用户电脑上实现远程代码执行(RCE)。我们也是在WinRAR 5.70 版中偶然发现了这个漏洞。” 安全专家在安装了WinRAR
所谓虚拟dom,即为伪dom,假的dom,他不是一个真实的dom,而是由JS 来模拟出来的具有真实dom结构的一个树形结构。
<?xml:namespace prefix = o ns = “urn:schemas-microsoft-com:office:office” /> Generic Host Process
Rundll32是指32位的DLL文件,它的作用是执行DLL文件中的内部函数,功能就是以命令行的方式调用动态链接程序库。
3.本篇文章是CVE-2012-4792漏洞的分析入手 详细的阐述漏洞的成因以及如何去利用该漏洞
HtmlDocument.InvokeScript 方法 (String, Object[])
在2018年4月下旬,我们使用沙箱发现了IE0day漏洞;自从在野外发现上一个样本(CVE-2016-0189)已经有两年多了。从许多方面来看,这个特别的漏洞及其后续的开发比较有趣。下一篇文章将分析最新的漏洞背后的核心原因,CVE-2018-8174。
当你在办公室里面工作,周围有老板、领导,但又着急买春节的火车票怎么办? 开着电脑声音,出票火车鸣笛声没听到,QQ聊天工具等不和谐的声音放出来了怎么办? 为了不让别人听见你在买票,只好把声音关了,但这样你就不知道有票来了! 所以只好不断的偷偷切换窗口,看票来了没有,弄得工作都没有心情。 有时候即使这样,当你发现票来了,等点击提交订单的时候,票早就没了,坑爹啊:-《 为此眼看着列表上有N多张最好的票,白白丢了的有木有:-《 如果有个程序,能够在来票的时候自动弹窗出来,我就可以一边安心的工作 ,一边及时输入验证码
📷 简介 在各种钓鱼、挖矿、勒索、组建僵尸网络、基础渗透、后渗透过程当中,攻击者都会通过一些方法去下载执行恶意代码并执行完成攻击操作,比如前段时间通过Office DDE执行powershell的,利用宏执行VBS的,绕过权限限制完成危险命令执行的等等,都需要用到文件下载/上传姿势,一般说按照途径可以分为: 通过HTTP、FTP URL进行传输类 通过UNC进行传输类 通过磁盘写入类 而payload执行则具体可以分为有文件类和无文件类,具体分的话就是内存执行、本地缓存、磁盘文件下面我们
简介 在各种钓鱼、挖矿、勒索、组建僵尸网络、基础渗透、后渗透过程当中,攻击者都会通过一些方法去下载执行恶意代码并执行完成攻击操作,比如前段时间通过Office DDE执行powershell的,利用宏执行VBS的,绕过权限限制完成危险命令执行的等等,都需要用到文件下载/上传姿势,一般说按照途径可以分为: 通过HTTP、FTP URL进行传输类 通过UNC进行传输类 通过磁盘写入类 而payload执行则具体可以分为有文件类和无文件类,具体分的话就是内存执行、本地缓存、磁盘文件 通过HTTP下载
直接调用dll函数,rundll32 dllpath,func param1 param2 … 执行步骤
Microsoft报告了一个名为 CVE-2021-40444 的0day漏洞,利用该漏洞可以在受害者的计算机上远程执行恶意代码。黑客可在利用该漏洞攻击 Microsoft Office 用户拿下主机。
CVE-2017-8759是一个新型的Office文档高级威胁攻击漏洞,该漏洞允许恶意人士在解析SOAP WSDL的定义内容期间注入任意代码,FireEye公司对该微软Office文档进行了分析,并发现攻击者能够利用代码注入方式下载并执行一份包含PowerShell指令的Visual Basic脚本,黑客在Offcie文档中嵌入新的Moniker对象,利用的是.net库漏洞,在Office文档中加载执行远程的恶意.NET代码
因为刚开始IE还没有加载jsript.dll,所以可以先设置加载jscript.dll时断下(sxe),按g运行,拖入exp。
面试官经常会问你:“平时工作中,你怎么优化自己应用的性能?” 你回答如下:“我平时遵循以下几条原则来优化我的项目、以提高性能,主要有:”
20210920 [+]CmdDll Windows 0day漏洞通用DLL注入生成器,生成的DLL仅5KB,非常适合0day加载
一、前言 经过上几篇的学习,现在我们已经掌握了ActiveX的整个开发过程,但要发挥ActiveX的真正威力,必须依靠JS。下面一起来学习吧! 二、JS调用ActiveX方法 只需在UserControl子类中(即自定义的ActiveX控件中),编写公共方法即可。 C# [Guid("0203DABD-51B8-4E8E-A1EB-156950EE1668")] public partial class Up
网上关于安装部署的文章太多,我就不多写那些重复的东西了;这篇文章就简单介绍部署ActiveX控件要注意的细节。本人的“.NET实现之(ActiveX插件开发)”一文中介绍了在.NET平台下开发ActiveX控件的方法,但是没有介绍怎么部署开发好的ActiveX插件,所以今天就来弥补这个空缺;
网上查了下,说是要在消息循环里响应IOleInPlaceActiveObject::TranslateAccelerator
ntdll!memcpy+0x33 ntdll!RtlpReAllocateHeap+0x9d9 (FPO: [Non-Fpo]) ntdll!RtlReAllocateHeap+0x2c5 (FPO: [Non-Fpo]) kernel32!GlobalReAlloc+0x17f (FPO: [Non-Fpo]) ole32!CMemBytes::SetSize+0x2a (FPO: [Non-Fpo]) (CONV: stdca ole32!CMStream::SetSize+0x72 (FPO: [Non-Fpo]) (CONV: thisca ole32!CDirectStream::SetSize+0x285 (FPO: [Non-Fpo]) (CONV: ole32!CMStream::SetMiniSize+0x49 (FPO: [Non-Fpo]) (CONV: th ole32!CDirectStream::SetSize+0x274 (FPO: [Non-Fpo]) (CONV: ole32!PSStream::SetSize+0x19 (FPO: [Non-Fpo]) (CONV: thisca ole32!CPubStream::SetSize+0x52 (FPO: [Non-Fpo]) (CONV: this ole32!CExposeadStream::SetSize+0x62 (FPO: [Non-Fpo]) (CONV: MSHTML!CStorageHelper::_WriteKeyValuesToStream+0x115 (FPO: MSHTML!CStorageHelper::Save+0x24 (FPO: [Non-Fpo]) MSHTML!CStorageListHelper::Save+0xb8 (FPO: [Non-Fpo]) MSHTML!CDoc::SetupDwnBindInfoAndBindCtx+0x677 (FPO: [Non-Fp MSHTML!CDoc::FollowHyperlink2+0x3b9 (FPO: [30,27,4]) MSHTML!CWindow::SuperNavigateInternal+0x20c (FPO: [12,11,4] MSHTML!CWindow::SuperNavigate3+0x27 (FPO: [Non-Fpo]) le. Following frames may be wrong. ieframe!Ordinal231+0xae8a ieframe!Ordinal231+0xabd0 ieframe!Ordinal231+0xa6e6 ieframe!Ordinal137+0x60bf MSHTML!CTExec+0x38 (FPO: [Non-Fpo]) MSHTML!CMarkup::DoAutoSearch+0x2fb (FPO: [Non-Fpo]) MSHTML!`CBackgroundInfo::Property<CBackgroundImage>'::`7':: MSHTML!`CBackgroundInfo::Property<CBackgroundImage>'::`7':: MSHTML!CBindingFilter::OnStopBinding+0x3d (FPO: [Non-Fpo]) urlmon!CBSCHolder::OnStopBinding+0x3c (FPO: [Non-Fpo]) urlmon!CBinding::CallOnStopBinding+0x3d (FPO: [Non-Fpo]) urlmon!AppDataFolderList::GetPackageDependencyStateForIUri+ urlmon!CBinding::ReportData+0xa2 (FPO: [Non-Fpo]) urlmon!COInetProt::ReportData+0x81 (FPO: [Non-Fpo]) urlmon!CTransaction::DispatchReport+0x171 (FPO: [6,3,4]) urlmon!CTransaction::OnINetCallback+0x140 (FPO: [Non-Fpo]) urlmon!TransactionWndProc+0x28 (FPO: [Non-Fpo]) USER32!gapfnScSendMessage+0x270 USER32!gapfnScSendMessage+0x922 USER32!LoadStringW+0x11f USER32!DispatchMessageW+0xf chrome_child!base
//Execute A Command rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();new%20ActiveXObject("WScript.Shell").Run("calc"); //Write To A File rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";fso=new%20ActiveXObject("Scripting.Fi
大家好,又见面了,我是你们的朋友全栈君。 本文翻译自 http://msdn.microsoft.com/workshop/browser/mshtml/overview/overview.asp
众所周知 mozilla 只提供C/C++版本的gecko内核 嗯 人家mozilla 就是这么着说的就是没有.net的 人家也没有义务要提供 废话说道这
1,https://bbs.csdn.net/topics/390764769 提到可以用ClearableListData的注册表项目
绕过 Windows Defender 木马:Win32/Powessere.G
_Stream ADODB_TLB akTop, akLeft, akRight, akBottom Controls Application (the variable not a type) Forms Beep SysUtils or Windows (different functions) CGID_EXPLORER ShlObj CN_BASE Controls CoInitialize ActiveX CopyFile Windows CoUnInitialize ActiveX Creat
Microsoft Defender 防病毒软件是 Microsoft Defender for Endpoint 中下一代保护的主要组件。这种保护汇集了 机器学习、大数据分析、深入的威胁抵抗研究,以及用于保护设备(或端点)的 Microsoft 云基础架构 您的组织。Microsoft Defender 防病毒内置于 Windows 中,它与 Microsoft Defender for Endpoint 配合使用,为您的 设备和云端。
Microsoft Internet Explorer 6 through 9, and 10 Consumer Preview, does not properly handle objects in memory, which allows remote attackers to execute arbitrary code by attempting to access a nonexistent object, leading to a heap-based buffer overflow,
*本文原创作者:lcx,本文属FreeBuf原创奖励计划,未经许可禁止转载 ** 在Windows系统中,为了节省内存和实现代码重用,微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL(Dynamic Link Library)文件,即动态链接库,这种库包含了可由多个程序同时使用的代码和数据。Rundll.exe 和 Rundll32.exe 的命令行实用程序,通过这两个程序可调用从16位或32位DLL导出的函数。现在Rundll.exe 基本被淘汰,rundll32.exe格式为:RU
2021年9月8日,微软官方发布风险通告,公开了一个有关Windows MSHTML 的远程代码执行漏洞。有攻击者试图通过使用特制的Office文档来利用此漏洞,该漏洞风险为高,腾讯安全已捕获在野利用样本,腾讯安全全系列产品已支持对该漏洞的恶意利用进行检测拦截,建议Windows用户警惕来历不明的文件,避免轻易打开可疑文档。
一般来说,电脑硬件不easy生病。内存故障的可能性并不大(非你的内存真的是杂牌的一塌徒地)。主要方面是:1。内存条坏了(二手内存情况居多)、2。使用了有质量问题的内存。3。内存插在主板上的金手指部分灰尘太多。4。使用不同品牌不同容量的内存。从而出现不兼容的情况。5。超频带来的散热问题。你能够使用MemTest 这个软件来检測一下内存,它能够彻底的检測出内存的稳定度。
对于ATT&CK,我相信搞安全的师傅们都在熟悉不过了,ATT&CK把攻击者所运用的技术都以各种TTP展现出来了,如何将ATT&CK框架,更好的利用在我们的企业中,看似是一个简单的问题,实际操作却会出现许多无法意料的问题,就比如我们ATT&CK对应的计划任务,我们对应的规则应该怎么写,写完了规则的准确率是多少,误报率是多少,召回率是多少,写的规则是否真的能检测业务蓝军或者是入侵者,企业是否有支持ATT&CK运营的基础设施平台,ATT&CK运营人员的水位怎么样,因为你的规则匹配出了计划任务,但是仅凭借计划任务我们就能判断出改终端的行为是恶意的吗?不能这么草率吧,以及T1059.001的powershell,我们又打算如何设计我们的规则,是单纯的匹配恶意powershell文本的执行,比如powerspliot还是empire的脚本,还是根据powershell的功能来判断恶意行为?比如执行,下载,-bypass参数来匹配恶意行为,或者是直接套用微软的powershell语言限制模式,当然,这几种模式没有优劣之分,我们红军需要的是用已知的技术解决方案满足企业的安全需求,我们防守方的优势在于攻击者对于我们安全防线水位的未知 当然,我们企业红军所面临的蓝军或者攻击者,他们的攻击方式都是很简单致命的,就是一条攻击链路不会有没必要的攻击行为,这对于我们防守方来说,我们设计了很多规则,看似巧妙精密,但是还是会被企业的蓝军绕过,每次复盘都有许多能提升的水位,当然,废话了这么多,此篇文章仅是以笔者的攻防思路,输出自己对于ATT&CK矩阵的理解,文章尽量会按照以前的风格浅显易懂,如果有师傅对ATT&CK感兴趣,欢迎与我交流,可以邮箱联系我
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
