1.威胁猎杀实战(一):平台
2.冬训营丨高级威胁活动中C2的猎杀猎杀多样风格
3.怪物猎人世界介绍_怪物猎人世界是什么
威胁猎杀实战(一):平台
国内Threat Hunting通常被称为威胁追踪或狩猎,我们认为通过主动出击,源码"攻"与"防"相辅相成。代码在这一系列实战的猎杀猎杀第一篇中,我们将引导你快速搭建一个基于Elastic Stack的源码威胁猎杀平台,只需简单几步Copy and Paste操作。代码hook iat 源码后续文章将对平台进行深化和完善。猎杀猎杀 以下是源码搭建步骤:部署Elastic Stack (容器化)
方式一:官方Binary软件包
选择官方提供的五个软件包之一进行安装。
方式二:源码安装
需要安装依赖软件包,代码可能还需其他可选的猎杀猎杀依赖。
方式三:容器化 (Docker)
通过Docker快速部署和管理Elastic Stack。源码
整合Elastic Stack、代码Kafka与Bro
Bro日志处理
学习如何配置Bro以输出日志,猎杀猎杀包括csv和json格式。源码
Elastic Stack处理
使用Elastic Stack直接处理csv日志,代码hdmi源码输出 显卡或通过Kafka中转后处理json日志。
安装Kafka
安装Metron-Bro-Kafka插件
配置Bro发送日志至Kafka
配置Logstash接收Kafka日志
致谢
感谢HardenedLinux、Rock NSM和Security Onion团队的贡献和支持。
这个实战系列将逐步帮助你构建一个强大的威胁猎杀平台,让你在网络安全领域更具主动性和效率。
冬训营丨高级威胁活动中C2的多样风格
C2是什么?它是指APT组织掌握的基础设施,即IP、域名、URL。作为动词,C2意味着命令与控制(Command and Control),APT组织基于各种网络基础设施,如广域网/公网、局域网/内网、小型账单管理源码Tor洋葱路由、卫星等,对已成功入侵的目标进行控制、指令下发、资源下发和数据回传。 在命令与控制过程中,APT组织通过OODA循环展开网空杀伤链,C2属于控制阶段。攻击方需要隐蔽自身行为和通信通道,即使被发现也难以定位真实的C2基础设施,甚至定位到基础设施也无法溯源到攻击方。攻击方为达成效果,使用了多种技术手段,包括Payload、安卓月历源码信道、协议、报文、基础设施和C2节点。以下将从基础设施角度,探讨C2的多样风格。 案例一:APT组织入侵网站作为C2 年,安天发布报告指出,攻击者利用BBS漏洞入侵网站,上传Webshell和其他组件作为C2。Webshell作为跳板机,实现邮件发送、信息接收和恶意载荷下载。通过分析发现,盗用源码不盈利攻击者可能使用自研Webshell,能够获取网站服务器信息。Webshell采用加密手段进行保护,但无法直接作为检测指标。 案例二:APT组织利用DDR作为C2 DDR是一种间谍活动策略,用于在未见面的情况下进行信息传递。越来越多APT组织将其用于合法Web服务作为C2,方便创建和测试环境,且加密报文难以直接封禁,对安全产品构成挑战。 案例三:利用入侵的IoT设备作为C2 海莲花组织自年开始使用IoT设备转发流量,隐藏真实C2地址,通过设备取证可获取真实C2节点。 案例四:美国CIA自建C2基础设施控制平台蜂巢 年,维基解密公开了CIA使用的Hive源代码和开发日志,Hive是用于控制恶意软件基础设施的组件,通过可选身份验证隐藏C2节点。 案例五:使用可移动设备作为C2 APT组织在隔离网络中使用可移动设备作为C2,如在SolarWinds供应链攻击中,APT组织利用基于Cobalt Strike的SMB管道作为内网C2。 案例六:基于域名前置的隐蔽通道作为C2 APT组织使用域名前置隐蔽通道和Tor洋葱路由隐藏C2节点。 案例七:图拉组织利用卫星通信作为C2 图拉组织通过中东和非洲国家的卫星网络进行通信,很难追踪到具体位置。他们可能通过BGP劫持卫星通信协议作为C2信道。 案例八:利用其他组织的C2作为C2 年,图拉组织劫持伊朗APT组织的网络基础设施作为恶意软件下载服务器,将恶意软件植入目标网络。 结合案例,高级威胁活动中C2的多样风格得到抽象化总结。从威胁框架整体看,C2问题已不仅仅是单一维度。通过深入挖掘流量中的协议和文件格式,提升ATT&CK威胁框架的覆盖度。在定位、观察和情报层面形成闭环,针对C2的多样化情况进行猎杀与捕获。怪物猎人世界介绍_怪物猎人世界是什么
《怪物猎人世界》的伤害统计工具详细解析
这款工具专门针对《怪物猎人世界》设计,旨在帮助玩家深入理解自己的伤害输出情况。首先,你需要解压缩该工具,并确保在游戏运行时启动,否则可能遇到错误。如果以管理员身份运行游戏,工具也需要同样的权限。它以半透明窗口显示,可轻松拖动到游戏画面之上,不影响游戏视野。
值得注意的是,此插件仅适用于Steam版(版本号),并且已在Windows 上经过测试,确保其稳定性。对于早期Windows版本,可能需要NET Framework 4.7.2的支持才能运行。
伤害统计工具的作用是实时显示你和队友的攻击输出,包括所有战斗中的数据,如鞭尸、爆弹等。然而,由于数据直接来源于游戏内记录,某些环境伤害或特殊情况下,可能与实际伤害存在差异。比如,有一次作者在猎杀尸套龙时,伤害被低估了大约点,这可能是游戏内部记录错误,而非工具问题。
为了保持游戏的沉浸感,官方并未在任务中显示具体伤害数值。如果你非常需要这些数据,可以自行对工具进行修改,因为其源码未加密。
总的来说,这款伤害统计工具为《怪物猎人世界》玩家提供了一种直观的自我评估和团队协作的方式,但使用时需理解其数据的准确性可能受到游戏机制的影响。