- 综合排序
- 最热优先
- 最新优先
- 来自专栏有价值炮灰
OPSEC与查水表
什么是OPSEC OPSEC,全称为Operations Security,即行动安全,也叫作战安全。 美军部队中还有专门作战安全主管(OPSEC Officer),外事不决可以随时询问。 oc.png OPSEC不是那种明确定义有1234的行为准则,也不是什么关于特定操作的奇淫技巧,而是一个流程。 什么是水表 OK,介绍完了OPSEC,我们再来回到最初的问题。这里预设的“行动”场景是网络活动,那么查水表就是目标或者执法机构的溯源和打击过程。 虽然不对外提供,但是很多公司还是有数据的,甚至互通有无形成广告联盟,跟踪特朗普都不在话下: tp.gif OPSEC实践 因此,我们就以IP定位为例,来举例说明OPSEC是如何实践的。 后记 本文介绍了OPSEC的基本概念,并以IP地址为例简单分析其实践方法。国外对OPSEC早已有了成熟的运用,比如CIA的HIVE(Vault7),FSB的Fronton等。
1.2K10编辑于 2023-02-12 - 来自专栏黑白天安全团队
进程注入 OPSEC tips
OPSEC RWX 第一个方面是 RWX 的初始内存分配,这对于AV和EDR来说可能是一个危险信号。 SeChangeNotifyPrivilege 在 VirtualAllocEx/WriteProcessMemory/CreateRemoteThread 注入模式这种,两个主要 OPSEC Get-InjectedThread.ps1 PS C:\Tools> Get-InjectedThreadPS C:\Tools> https://rastamouse.me/exploring-process-injection-opsec-part -2/ https://rastamouse.me/exploring-process-injection-opsec-part-1/
66930发布于 2021-11-25 - 来自专栏白帽子安全笔记
Beacon 命令和 OPSEC 操作绕过查杀
这时候你会发现,我们绕过了Defender监控对目标进行了截屏,此opsec操作无法被查杀。
51410编辑于 2024-10-28 - 来自专栏FreeBuf
NetSet:一款功能强大的自动化网络流量安全增强工具
Tor Wall可以保证所有的流量必须经过Tor网络来进行传输,并且可以轻松访问OPSEC资源。 'OPSEC Resources'- Display NetSet's included list of web resources. 本项目计划在将来添加更多OPSEC相关的资源或功能模块。 项目地址 NetSet:https://github.com/NullArray/NetSet
64550发布于 2019-08-06 - 来自专栏潇湘信安
对手基础设施:勒索软件组、APT和红队
我将非常简要地解释不同的威胁参与者是如何工作的,使用什么样的基础设施和工具来发起攻击,以及他们在opsec方面有多糟糕。 443上的Cobalt Strike Malleable和574上的默认证书 红队 好吧,这很有趣,因为我很惊讶我经常能找到属于红队的不安全C2(我不会让他们感到羞耻,但说真的,你们应该了解OPSEC! MichaelKoczwara/deb8ea5d997ecd9475532a650e30396a 总结 在这项研究中,我学到了很多东西,尤其是关于威胁参与者的配置文件、工具、方法,它们有何不同,以及他们在opsec 相关阅读:OPSEC与查水表
50520编辑于 2023-03-21 - 来自专栏潇湘信安
简单好用的CobaltStrike提权插件
插件特点及功能简介 插件基于OPSEC原则去写,我们进行后渗透时应当尽量避免使用fork&run模式的命令,尽可能避免在Beacon下使用cmd.exe、powershell.exe等高危进程去执行命令和程序 https://www.cobaltstrike.com/help-opsec https://hausec.com/2021/07/26/cobalt-strike-and-tradecraft/ 插件主要用到以下执行方式
1.8K11编辑于 2024-04-03 - 来自专栏FreeBuf
如何使用Certsync远程转储NTDS黄金证书和UnPAC哈希
If omitted it will use the domain part (FQDN) specified in the target parameter OPSEC options: T (向右滑动,查看更多) OPSEC选项 Certsync提供了一些OPSEC选项,可以自定义工具的行为: -ldap-filter:更改用于选择用户名的LDAP过滤器; -template:
62710编辑于 2023-08-08 - 来自专栏闪石星曜CyberSecurity
防溯源防水表—APT渗透攻击红队行动保障
所以我们必须要有OPSEC的理念 ,OPSEC的全称是Operations security,即行动安全,这对我们来说尤为重要,所以我们的行为不能太粗糙,不要被轻易溯源。
3.1K20发布于 2020-02-26 - 来自专栏FreeBuf
Adwind家族恶意软件
深入分析 我们分析了Adwind不同RAT中的基础架构,发现他的操作安全性(OpSec)非常好。域名注册商和托管服务明显发生了改变,基础架构未被重用。 在分析了成千上万的基础架构之后,这种持续良好的opsec是罕见的。Adwind不仅试图隐藏自己的身份,为了与名声不佳的问题保持距离,他还试图更换所有权。 背后黑手 如前所述,Adwind拥有非常好的Opsec,最初,通过他的基础架构确定他身份是不可能的。
1.3K00发布于 2019-10-10 - 来自专栏安全开发记录
如何做一款好的waf产品(3)
OPSEC Event Logging API (ELA - http://www.opsec.com/intro/sdk_overview.html#ela) 5.
72670发布于 2021-08-11 - 来自专栏白帽子安全笔记
地狱之门进程注入官方免杀插件
参考资料: 控制进程注入 Beacon 命令行为和 OPSEC 注意事项 测试插件 加载进程注入插件,从控制台可以看到Process Inject Kit Loaded 我们挑选一个命令,进行屏幕截图操作
43710编辑于 2024-10-30 - 来自专栏FreeBuf
Slackor:Go语言写的一款C&C服务器
screenshot - 获取桌面的屏幕截图 - shellcode- 执行x64原始shellcode - Mac命令 - Linux命令 - screenshot - 获取桌面的屏幕截图 OPSEC 以下是几个不执行cmd.exe/的OPSEC安全命令bash: - cat - 打印文件内容 - cd - 更改目录 - find - 搜索目录文件名 - getip - 获取外部IP地址(发出DNS请求
2.2K10发布于 2019-09-17 - 来自专栏IT运维技术圈
推荐一个内网信息收集端口扫描工具
遵循 OPSEC 原则:尽量避免创建 net.exe、wmi.exe、reg.exe 等额外的子进程操作,减少日志记录,降低被发现的可能性。 隐蔽性:支持无文件落地扫描,减少被检测的风险,遵循 OPSEC 原则,降低被发现的可能性。 易于部署:工具体积小巧,便于在内网环境中快速传输和部署,兼容性强,适用于多种 Windows 系统。
90810编辑于 2025-01-20 - 来自专栏黑白天安全团队
OFFENSIVE LATERAL MOVEMENT 横向移动(译文)
横向移动的困难在于具有良好的操作安全性(OpSec),这意味着尽量少生成一些日志,或者生成的日志看上去是正常的,难以被防守方和和蓝队发现。目的不仅是展示技术,但要显示幕后情况以及与之相关的任何指标。 我将在整个文章中引用一些Cobalt Strike语法,因为这是我们主要用于C2的语法,但是Cobalt Strike的内置横向移动技术是相当嘈杂,对OpSec不友好。 Windows\System32\calc.exe” Cobalt Strike利用WMI在目标上执行Powershell的payload,因此使用内置WMI时PowerShell.exe将打开,这是OpSec /S host.domain /RU System shell schtasks /run /tn ExampleTask /S host.domain Then delete the job (opsec
4.9K10发布于 2021-01-29 - 来自专栏锦鲤安全
【CS插件】OneScreenshot 截图插件
windows7,不依赖com接口,C语言实现bmp 转 jpeg并改进了转换算法 正确获取截图大小,修复截图不全的问题 自动获取当前窗口标题 一键获取截图,可直接在截图预览标签查看 空截图判断,避免出现空截图 OPSEC
47410编辑于 2024-09-12 - 来自专栏潇湘信安
Windows2022绕过Defender提权
sharpcmd插件的好处在于不用依赖cmd.exe执行命令,实战中我们应当遵循OPSEC原则尽可能避免使用cmd.exe、powershell.exe等高危进程执行命令和程序...。
1.2K10编辑于 2024-06-19 - 来自专栏Khan安全团队
进攻性横向移动
横向移动的困难在于具有良好的操作安全性 (OpSec),这意味着生成尽可能少的日志,或者生成看起来正常的日志,即隐藏在视线范围内以避免被发现。 我将在这篇文章中引用一些 Cobalt Strike 语法,因为它是我们主要用于 C2 的语法,但是 Cobalt Strike 的内置横向移动技术是相当嘈杂,对 OpSec 不太友好。 System32\calc.exe” Cobalt Strike 利用 WMI 在目标上执行 Powershell 有效负载,因此 PowerShell.exe 将在使用 WMI 内置时打开,这是一个 OpSec 在学习 Cobalt Strike 时,我了解到内置程序对 OpSec 不友好,这可能导致操作员被抓,所以我想我至少会尝试记录一些高级 IOC。
3K10编辑于 2022-01-19 - 来自专栏编程
Windows渗透测试工具:RedSnarf
RedSnarf通过OpSec技术,从Windows工作站,服务器和域控制器中检索散列和凭据。
1.6K70发布于 2018-02-02 - 来自专栏FreeBuf
Abaddon:专为红队研究人员设计的增强工具
的功能 Abaddon旨在通过下列方法为红队研究人员提供增强服务: 1、减少红队构建基础设施所需的时间; 2、仅需点击一至两下鼠标,即可完成复杂的操作活动; 3、长时间红队活动可轻松生成报告; 4、降低“OPSEC
60620编辑于 2021-12-31 - 来自专栏网络安全攻防
负载均衡下的Webshell连接处理
0x04 OPSec下的思路 遵循OPSec,我们尽量不使用webshell直接执行命令获取ip和端口信息,如果是Linux的情况还好说,proc下面保存着进程的端口信息,net下面也保存着端口信息。
39510编辑于 2024-08-05
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号