Введение: Как оператор красной команды, крайне важно постоянно изучать передовые методы для эффективного моделирования реальных угроз во время авторизованных тестов на проникновение. Бэкдоры в системах Windows предоставляют мощную возможность для несанкционированного доступа и контроля. В этом справочном руководстве мы рассмотрим пять продвинутых способов бэкдора в системе Windows, снабдив операторов красной команды знаниями и методами, необходимыми для проведения сложных и скрытых..

Подобно Шаблону кода WMI Process Watcher , телеметрия может быть интересной и полезной как для защитника, так и для злоумышленника, чтобы знать, кто и когда входит в систему, поэтому я опубликовал пример шаблона кода для сбора этой информации. журнал событий безопасности Windows ( https://github.com/malcomvetter/WhoDis ). Первое, что нам нужно сделать, это настроить метод для «прослушивания» новых событий журнала событий безопасности: После того, как у нас есть прослушиватель и..

Джеймс Таббервиль | 12 ноября 2019 г. | Твитнуть этот пост Первоначально опубликовано на http://threatexpress.com . Сборщик данных событий (EDC) — это очень простое приложение django, используемое для сбора данных на лету. Он в первую очередь предназначен для облегчения потока сплоченной красной команды, позволяя как вручную, так и автоматически собирать оперативные действия и информацию. Это не причудливо, он был разработан поэтапно, чтобы удовлетворить потребности..

О Imphash Если вы не знакомы, imphash означает хэш импорта всех импортированных библиотек в файле Windows Portable Executable (PE). Вы можете быстро начать играть с ним с его реализацией на Python здесь: https://github.com/erocarrera/pefile Для вычисления «импхэша» все импортированные библиотеки и связанные с ними функции выгружаются в строковом формате, объединяются, а затем криптографически хешируются. Virus Total также делает это с PE-файлами, которые он видит в своих..

Резюме Из-за природы среды выполнения компилируемого языка .NET, пользовательские вызовы асинхронных процедур (APC) обрабатываются при выходе из любой сборки .NET без ручного запуска состояния предупреждения из управляемого кода. Кроме того, если пользователь порождает новый процесс и ставит APC в очередь в основной поток процесса, между очередью APC и основной подпрограммой процесса возникает состояние гонки, так что очередь APC обрабатывается первой. Что такое пользовательские APC?..