记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

隐藏的宝藏:ETW的入侵检测(第1部分)

现如今防御者所面临的信息不对称问题已经越来越凸显,特别是随着内存中的攻击和有针对性的恶意软件的出现,防御者已经不能仅仅依靠Windows默认提供的事件日志来进行防御了,因为攻击者可能会使用进程空当来将其代码隐藏在一个看似良性的进程中,并切Command&Control流量通过DNS路由保持隐藏。在通过Office 365红队练习我们的事件响应功能后,我们开始研究Windows安全事件日志之外的备用数据源。我们意识到,虽然我们可以看到一个可疑过程,但我们不知道这个进程查询了哪些域,或者发送到端点的数据量有哪些。此外,我们发现PowerShell.exe的实例是一个对手可以执行任意数量的未知命令的黑洞,因此我们需要比安全事件日志所能提供的更多信息。挑战是什么?想象一下这种情况:在查看事件日志时,你发现4688 Pr
发布时间:2017-04-14 01:15 | 阅读:111772 | 评论:0 | 标签:技术 Windows事件跟踪

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云