TTPs

总结描述

攻击组件复杂、攻击流程繁琐、活动轨迹高度隐匿，并且具备一定的反侦察能力，这些特点均给安全研究人员在逆向分析、追踪溯源方面提出了巨大挑战，攻击组件的上下文缺失以及各安全厂商的情报信息孤岛同样是摆在攻击事件分析挖掘前的阻碍。

Windows系统上的代码执行的方法

LotL：Living off the Land

可以理解为就地取材，利用Windows系统和应用程序来加载执行恶意代码，典型的案例就是利用powershell的攻击。这种方式利用白名单程序来加载，会有一定规避检查的优点，但会产生明显的父子进程关系和进程参数，容易被猎捕。
包括但不限于无文件攻击，被滥用的合法工具被称为LOLBins，利用在操作系统上运行的受信任的合法进程（LOLBins）来执行恶意活动，例如横向移动，特权提升，逃避，侦察和有效载荷的传递。包括：
1.PowerShell，具有Cobalt Kitty行动，Ramnit Banking木马，Emotet，TrickBot和Ryuk的三重威胁以及Fallout Exploit Kit等攻击。
2.Windows Management Instrumentation（WMI），具有像Operation Soft Cell，Shade Exploit Kit，Adobe Worm Faker和 GandCrabs Evasive攻击之类的攻击。
3…NET，带有类似新Ursnif变体的攻击；
4.恶意宏，带有类似新Ursnif变体的攻击；
还有VB脚本、Mimikatz、PsExec等一百多种

BYOB：Bring Your Own Binar

把后门、工具、武器编译成exe文件，上传到目标主机上并运行。这也是最直接的执行方式。缺点是需要不断的编译和上传、要处理杀软和EDR的静态检测等等。

BYOL：Bring Your Own Land

在使用前两种方法建立了基本的代码执行能力后，在内存中加载并运行Windows的PE文件、.NET assembly文件。优点是跳过了静态文件查杀，不会明显产生进程间调用关系和进程调用参数，缺点是需要自己开发内存加载执行的代码，很多常规的命令需要自己重新实现。

BYOI：Bring Your Own Interpreter

将范例转变为PowerShell样式，比如攻击(因为它提供了比传统的C#Tradecraft更多的灵活性)，但无论如何都不使用PowerShell。
It’s the culmination of an extensive amount of research into using embedded third-party .NET scripting languages to dynamically call .NET API’s, a technique the author coined as BYOI (Bring Your Own Interpreter). The aim of this tool and the BYOI concept is to shift the paradigm back to PowerShell style like attacks (as it offers much more flexibility over traditional C# tradecraft) only without using PowerShell in anyway.

PowerShell

混淆

Powershell作为Windows10默认shell工具，依靠.NET Framework的强大功能、对Windows系统的各接口兼容以及其易于混淆变化的特点在恶意代码中也变得越来越常见，随之而来的是包括Windows Defender在内的绝大多数EDR类产品对于ps1脚本苛刻的扫描检测。
利用字符串替换和变量串联来处理已知的可以触发反病毒产品的恶意PS1，以实现绕过常见的基于签名的安全检测机制。
实现AMSI和安全防护产品（解决方案）绕过。

资产

域名

tk是南太平洋岛国托克劳（Tokelau）的国家域名，该域名最容易申请到的免费域名之一。

APT写作素材 - 专业术语 | 素材——君子性非异，善假于物也相关推荐

1. 君子性非异也，善假于物

   一口气看完好 每天看一章容易被琐事打扰 另外先看完全书, 再对不明白的章节反复阅读 有些时候前面不明白的问题, 看完全书以后就自然明白了. 转载于:https://www.cnblogs.com/sh ...

2. 君子性非异也，善假于物也

   平庸与卓越之间的差距其实很小, 也就是多花点时间思考,多走几步路积累而已. 但有时候差距又很大 它需要你多花点时间思考,多走几步路积累.

3. 自用资源整理 - 君子性非异也，善假于物也

   主要是链接 工具 史上最全Windows安全工具锦集 CTF [CTF Tools](https://github.com/ctf-wiki/ctf-tools) 漏洞 1Day 溯源 恶意代码 渗透 ...

4. 君子性非异也 善假于物也(一) antlr4 处理json 词法和文法 简易版

   学习了一下antlr4,之前都是自己写token parser lexer,用工具真的方便,自己撸了个json文法 作为学习 环境IDEA+antlr4插件,JB是真的业界福音,好尴尬,到现在还没买过 ...

5. 小红书行业黑话大全，小红书专业术语一手掌握

   大家好,今天给大家分享的是小红书行业黑话大全.像刚开始接触小红书这一块可能对于一些行业专业术语不是很懂,尤其是品牌方去对接的时候,如果对这个不是很了解,肯定会影响到一个投放效果.所以今天就跟大家一起来 ...

6. hacker入门专业术语

   专业术语: 脚本(asp,php,jsp) html(css,js,html) HTTP协议 CMS(B/S) MD5 肉鸡: ​ 被黑客入侵并被长期扎住的计算机或者服务器 抓鸡: ​ 利用使用大量的 ...

7. UI设计需求中的18个专业术语

   设计师的工作是做设计么?当然.但是设计师的工作只是做设计么?不尽然.在很多时候,尤其是在没有图片素材和视觉化的素材的前提之下,设计师没法直接借用视觉语言来「沟通」,这个时候就只能依靠语言了. 说白了, ...

8. 快速搭建类似千图、昵图的设计素材网站，素材交易网站源码下载

   截止年底全球设计素材交易超过990亿美金,其中73%的素材来自欧洲地区,预计今年全球素材的交易将超过1000亿美金.中国是素材潜力国,市场巨大.全球9600万设计师,中国约有1700万设计大军. 设计 ...

9. 产品经理所需要知道的专业术语

   产品经理所需要知道的专业术语 标签: 产品经理 2014-04-04 22:30  422人阅读  评论(0)  收藏  举报 版权声明:本文为博主原创文章,未经博主允许不得转载. 用户场景.用户描述 ...

最新文章

1. hdu 4667 Building Fence 计算几何模板
2. swoole安装基本配置
3. 上篇 | 说说无锁(Lock-Free)编程那些事
4. SpringMVC多拦截器的执行
5. yslow各个指标含义
6. SpringBoot 启动失败 Failed to determine a suitable driver class 问题解决方案
7. 将字符串中连续的多个空格替换成一个空格
8. csdn切换格式markdown
9. excel多个窗口独立显示_细说丨你想要的Excel保护与加密都在这里
10. PHP宝塔IDC分销系统,PHP宝塔IDC分销系统，宝塔面板开虚拟主机程序–Bty1.0
11. [note] 电磁场和微波课组（一）——电磁学（电学部分）
12. 把酸性体质改变成碱性体质的秘密
13. Xmanager7 解决图形显示问题
14. com.ibm.db2.jcc.b.SqlException:Parameter instance is invalid for requested conversion.
15. C3P0访问数据库死锁，com.mchange.v2.async.ThreadPoolAsynchronousRunner$DeadlockDetector@128e59b3 -- APPARENT
16. 人脸检测or五官检测
17. YUV Player Deluxe 注册
18. Perforce warning:Can't clobber writable file ...
19. 爱奇艺qsv视频下载后怎么转换为3gp格式
20. 树莓派3B+配置WiFi（基于raspbian系统）

热门文章

1. latex显示引用显示问号
2. 深度学习常用工具-数据增强+绘图
3. 用 Python 如何爬取股票信息
4. 云计算的基础架构：并行计算+资源虚拟化
5. 预制菜赛道新一轮洗牌，巨头仍需“闯三关”
6. 「前端架构」Grab的前端学习指南
7. 下一个“趣步”崛起：宣称“购物省钱”，年化收益率300%，吸引600万韭菜
8. 关于AD提示some nets were not able to matched
9. 纯css控制文字2行显示多余部分隐藏
10. 画活动图教程_卡通人物换装，创意穿搭教程来咯