APT研究系统安全 [2022] 威胁建模(一): 为什么我们需要att&ck矩阵 ### 一切的开始 杀毒软件的工作原理:  以上方法对于家庭电脑是没有问题的,因为出现了未知病毒感染了几个家庭电脑后,这个病毒就已经被杀软捕获分析并且拉黑了 但是对于没有见过的病毒来说,杀毒软件需要一段时间进行人工分析.而人工分析需要的时间又非常的多. 但对于安全需要极高的电脑来说,比如政府、军用的电脑,是不允许感染任何病毒的,因此这种杀毒软件的模式无法满足需要. 另外对于"APT"组织的攻击,如美国国家安全局NSA等黑客组织的专业攻击,他们的病毒绝对是之前没有见过的病毒. 杀毒软件也绝对不可能捕获到这些攻击. 专业的黑客组织会将木马伪造成正常文件诱导用户点击打开,而对于杀毒软件,他们在投毒之前就已经确信能100%防止被找到 阅读全文 2022-08-09 huoji 0 条评论
APT研究系统安全 [2021]windows威胁猎捕 (二) 继上一篇 [[2021]windows威胁猎捕 (一)](https://key08.com/index.php/2021/05/30/1118.html "[2021]windows威胁猎捕 (一)") 后,本篇介绍如下内容: 1.BloodHound检测 2.office宏后门检测 3.注册表可疑字符串检测 4.RDPWrapp劫持 5.系统时间变化 ## 1.BloodHound检测 BloodHound是一个域渗透分析工具.BloodHound以用图与线的形式,将域内用户、计算机、组、Sessions、ACLs以及域内所有相关用户、组、计算机、登陆信息、访问控制策略之间的关系更直观的展现在Red Team面前进行更便捷的分析域内情况,更快速的在域内提升自己的权限。它也可以使Blue Team成员对己方网络系统进行更好的安全检测及保证域的安全性。 具体可看: https://www.freebuf.com/sectool/179002.html 特征: 别人扫你的时候,srvsvc、lsarpc、samr会有管道连接 检测: ETW ID为18的事件(pipe connect)和ETW ID为3的(network connect)事件中: > ipport:389 or ipport:636 and ipport:445 and filemod:srvsvc and filemod:lsass EventID-5145 and RelativeTargetName={srvcsvc or lsarpc or samr} 阅读全文 2021-06-05 huoji 0 条评论
APT研究系统安全web安全 [2018]论高级威胁的本质和攻击力量化研究 by nEINEI/vxjump.net [aptr.txt](https://key08.com/usr/uploads/2020/08/3210735331.txt) 阅读全文 2020-08-18 huoji 0 条评论
