【文末送书】今天推荐一本网安领域优质书籍《ATT&CK视角下的红蓝对抗实战指南》,本文将从其亮点与内容出发,详细阐发其对于网安从业人员的重要性与益处。
文章目录
- 背景
- 简介
- 内容
- 文末送书
背景
根据中国互联网络信息中心(CNNIC)发布的第51次《中国互联网络发展状况统计报告》,截至2022年12月,我国网民规模为10.67亿,互联网普及率达75.6%。我国有潜力建设全球规模最大、应用渗透最强的数字社会。在此背景下,网络安全事关国家安全和经济社会稳定,事关广大人民群众利益。
当前,全球新一轮科技革命和产业变革深入推进,信息技术的发展日新月异,国内外的网络安全形势日趋严峻。2020~2023年,网络安全攻击持续增加,网络攻击威胁持续上升,各种网络攻击安全事件频发,网络所面临的安全威胁愈加多样、复杂、棘手。在互联互通的数字化链条中,任何一个漏洞或者隐患都有可能造成已有的安全防护网的破坏,给企业、机构等带来信息安全风险甚至财产损失等。
面对愈演愈烈的网络安全威胁,“红蓝攻防对抗”就成了网络安全从业者在新的网络安全形势下保障国家网络安全、防患于未然的行之有效的办法之一。
《ATT&CK视角下的红蓝对抗实战指南》即以为从业者讲透红蓝对抗、助力行业水准提升为目标酝酿而出的。
简介
本书是一本针对安全领域的红蓝攻防对抗的专业书,既能作为安全从业者在红蓝攻防对抗活动中的指导用书,又能成为企业安全部门构建纵深防御体系的参考指南。希望本书所分析、讲述的红蓝双方视角下的攻防对抗手法,能帮助各行业的网络安全从业者增强实践、知己知彼,从企业内部构建起安全防御体系。
内容
这是一本能同时帮助红队和蓝队建立完整攻击和防御知识体系的著作,也是一本既能指导企业建设和完善网络安全防御系统,又能打造安全工程师个人安全能力护城河的著作。
全书以ATT&CK框架模型为基座,系统、详细地讲解了信息收集、隧道穿透、权限提升、凭据获取、横向渗透、持久化6大阶段所涉及的技术原理、攻击手段和防御策略。既能让红队理解攻击的本质、掌握实战化的攻击手段,又能让蓝队看透红队的攻击思路,从而构建更为强大的防御体系。
本书的宗旨是“以攻促防、以战训战”,所以书中精心整理了大量来自实践的攻防案例,每个案例都提供了详细的思路、具体的步骤,以及实战中的经验、技巧和注意事项,尽可能让读者感受到真实的攻防对抗氛围。
博主给出部分目录:
1.2 UAC131.2.1 UAC原理概述131.2.2 UAC级别定义131.2.3 UAC触发条件151.2.4 UAC用户登录过程161.2.5 UAC虚拟化181.3 Windows安全认证机制181.3.1 什么是认证181.3.2 NTLM本地认证191.3.3 NTLM网络认证221.3.4 Kerberos域认证251.4 Windows常用协议281.4.1 LLMNR281.4.2 NetBIOS311.4.3 Windows WPAD341.5 Windows WMI详解361.5.1 WMI简介361.5.2 WQL361.5.3 WMI Client401.5.4 WMI远程交互411.5.5 WMI事件421.5.6 WMI攻击451.5.7 WMI攻击检测461.6 域461.6.1 域的基础概念461.6.2 组策略491.6.3 LDAP561.6.4 SPN591.7 本章小结65第2章 信息收集662.1 主机发现662.1.1 利用协议主动探测主机存活662.1.2 被动主机存活探测712.1.3 内网多网卡主机发现762.2 Windows主机信息收集检查清单782.3 Linux主机信息收集检查清单812.4 组策略信息收集812.4.1 本地组策略收集812.4.2 域组策略收集812.4.3 组策略存储收集832.4.4 组策略对象收集862.5 域信息收集902.5.1 域控制器收集902.5.2 域DNS信息枚举922.5.3 SPN扫描962.5.4 域用户名获取982.5.5 域用户定位1022.6 net session与net use利用1102.6.1 net session利用1102.6.2 net use利用1122.7 Sysmon检测1172.8 域路径收集分析1192.8.1 域分析之BloodHound1192.8.2 域分析之ShotHound1372.8.3 域分析之CornerShot1422.9 Exchange信息收集1462.9.1 Exchange常见接口1462.9.2 Exchange常见信息收集1462.9.3 Exchange攻击面扩展收集(暴力破解)1542.9.4 Exchange邮件列表导出1562.10 本章小结162第3章 隧道穿透1633.1 隧道穿透技术详解1633.1.1 正向连接1633.1.2 反向连接1633.1.3 端口转发1643.1.4 端口复用1653.1.5 内网穿透1653.1.6 代理和隧道的区别1653.1.7 常见隧道转发场景1653.1.8 常见隧道穿透分类1663.2 内网探测协议出网1663.2.1 TCP/UDP探测出网1663.2.2 HTTP/HTTPS探测出网1693.2.3 ICMP探测出网1713.2.4 DNS探测出网1713.3 隧道利用方法1723.3.1 常规反弹1723.3.2 加密反弹1753.3.3 端口转发1773.3.4 SOCKS隧道代理1803.4 利用多协议方式进行隧道穿透1823.4.1 利用ICMP进行隧道穿透1823.4.2 利用DNS协议进行隧道穿透1873.4.3 利用RDP进行隧道穿透1923.4.4 利用IPv6进行隧道穿透1953.4.5 利用GRE协议进行隧道穿透 1973.4.6 利用HTTP进行隧道穿透2003.4.7 利用SSH协议进行隧道穿透2103.5 常见的隧道穿透利用方式2153.5.1 通过EW进行隧道穿透2153.5.2 通过Venom进行隧道穿透2243.5.3 通过Termite进行隧道穿透2313.5.4 通过frp进行隧道穿透2363.5.5 通过NPS进行隧道穿透2443.5.6 通过ngrok进行内网穿透2503.6 文件传输技术2523.6.1 Windows文件传输技巧详解2523.6.2 Linux文件传输技巧详解2613.7 检测与防护2663.7.1 ICMP隧道流量检测与防护2663.7.2 DNS隧道流量检测与防护2673.7.3 HTTP隧道流量检测与防护2673.7.4 RDP隧道流量检测与防护2673.8 本章小结268第4章 权限提升2694.1 Windows用户权限简介2694.2 Windows单机权限提升2704.2.1 利用Windows内核漏洞进行提权2704.2.2 利用Windows错配进行提权2734.2.3 DLL劫持2854.2.4 访问令牌提权2944.2.5 获取TrustedInstaller权限2984.3 利用第三方服务提权3004.3.1 利用MySQL UDF进行提权3004.3.2 利用SQL Server进行提权3044.3.3 利用Redis进行提权3094.4 利用符号链接进行提权3134.4.1 符号链接3134.4.2 符号链接提权的原理3144.4.3 CVE-2020-06683164.5 NTLM中继3184.5.1 通过LLMNR/NBNS欺骗获取NTLM哈希3204.5.2 通过desktop.ini获取哈希3234.5.3 自动生成有效载荷3254.5.4 中继到SMB3264.6 Service提权至SYSTEM(土豆攻击)3284.6.1 热土豆3284.6.2 烂土豆3314.6.3 多汁土豆3334.6.4 甜土豆3344.7 Linux权限提升3344.7.1 Linux权限基础3344.7.2 Linux本机信息收集3374.7.3 利用Linux漏洞进行提权3404.7.4 Linux错配提权3424.8 Windows Print Spooler漏洞详解及防御3464.8.1 Windows Print Spooler简介3464.8.2 CVE-2020-10483474.8.3 CVE-2020-13373504.9 绕过权限限制3514.9.1 绕过 UAC3514.9.2 绕过AppLocker3614.9.3 绕过AMSI3744.9.4 绕过Sysmon3834.9.5 绕过ETW3874.9.6 绕过PowerShell Ruler3914.10 本章小结405第5章 凭据获取4065.1 Windows单机凭据获取4065.1.1 凭据获取的基础知识4065.1.2 通过SAM文件获取Windows凭据4075.1.3 通过Lsass进程获取Windows凭据4135.1.4 绕过Lsass进程保护4195.1.5 钓鱼获取Windows凭据4305.2 域凭据获取 4345.2.1 利用NTDS.DIT获取Windows域哈希4345.2.2 注入Lsass进程获取域用户哈希4405.2.3 DCSync利用原理4415.2.4 利用LAPS获取Windows域凭据4495.2.5 利用备份组导出域凭据4505.3 系统内软件凭据获取4555.3.1 收集浏览器密码4555.3.2 使用开源程序获取浏览器凭据4575.3.3 获取常见的运维管理软件密码4585.4 获取Windows哈希的技巧4615.4.1 利用蓝屏转储机制获取哈希4615.4.2 利用mstsc获取RDP凭据4645.4.3 通过Hook获取凭据4665.4.4 使用Physmem2profit远程转储Lsass进程4695.5 Linux凭据获取4705.5.1 Shadow文件详解4705.5.2 利用Strace记录密码4725.6 凭据防御4735.7 本章小结473第6章 横向渗透4746.1 常见的系统传递攻击4746.1.1 哈希传递4746.1.2 票据传递4776.1.3 密钥传递4826.1.4 证书传递4846.2 利用Windows计划任务进行横向渗透4856.2.1 at命令4856.2.2 schtasks命令4876.3 利用远程服务进行横向渗透4896.3.1 利用SC创建远程服务后进行横向渗透4896.3.2 利用SCShell进行横向渗透4916.4 利用PsExec进行横向渗透4926.4.1 利用PsExec获取交互式会话4936.4.2 建立IPC$连接,获取交互式会话4946.5 利用WinRM进行横向渗透4946.5.1 利用WinRS建立交互式会话4956.5.2 利用Invoke-Command远程执行命令4966.5.3 利用Enter-PSSession建立交互式会话4976.6 利用WMI进行横向渗透4996.6.1 利用WMIC进行信息收集5006.6.2 利用wmiexec.py获取交互式会话5036.6.3 利用wmiexec.vbs远程执行命令5036.6.4 利用WMIHACKER实现命令回显5046.7 利用DCOM进行横向渗透5046.7.1 利用MMC20.Application远程控制MMC5066.7.2 利用ShellWindows远程执行命令5086.7.3 利用Dcomexec.py获得半交互shell5096.7.4 其他DCOM组件5106.8 利用RDP进行横向渗透5106.8.1 针对RDP的哈希传递5106.8.2 RDP会话劫持5126.8.3 使用SharpRDP进行横向渗透5146.9 利用MSSQL数据库进行横向渗透5166.9.1 利用sp_oacreate执行命令5166.9.2 利用CLR执行命令5186.9.3 利用WarSQLKit扩展命令5236.10 利用组策略进行横向渗透5246.10.1 本地组策略与域组策略的区别5246.10.2 使用组策略推送MSI5256.10.3 使用域组策略创建计划任务5296.10.4 利用登录脚本进行横向渗透5346.11 利用WSUS进行横向渗透5376.11.1 WSUS利用原理5376.11.2 WSUS横向渗透5386.11.3 WSUS检测及防护5426.12 利用SCCM进行横向渗透5436.13 本章小结556第7章 持久化5577.1 Windows单机持久化5577.1.1 Windows RID劫持5577.1.2 利用计划任务进行权限维持5627.1.3 利用Windows注册表进行权限维持5637.1.4 利用映像劫持进行权限维持5667.1.5 利用CLR劫持进行权限维持5697.1.6 利用Telemetry服务进行权限维持5717.1.7 利用WMI进行权限维持5737.1.8 远程桌面服务影子攻击5797.2 Windows域权限维持5837.2.1 黄金票据5837.2.2 白银票据5897.2.3 黄金票据与白银票据的区别5977.2.4 利用DSRM进行域权限维持5977.2.5 利用DCShadow进行域权限维持6007.2.6 利用SID History进行域权限维持6067.2.7 利用AdminSDHolder进行域权限维持6097.2.8 注入Skeleton Key进行域权限维持6137.3 Linux单机持久化6147.3.1 利用Linux SUID进行权限维持6147.3.2 利用Linux计划任务进行权限维持6157.3.3 利用Linux PAM创建后门6167.3.4 利用SSH公钥免密登录6227.3.5 利用Vim创建后门6237.3.6 Linux端口复用6257.3.7 利用Rootkit进行权限维持6277.4 持久化防御6327.5 本章小结632
文末送书
为了帮助网安领域的从业人员更好地掌握红蓝对抗,博主将《ATT&CK视角下的红蓝对抗实战指南》免费赠送给大家。
本次活动一共赠2本,评论区抽取2位粉丝免费送出!
参与方式如下:
关注博主、点赞、收藏、评论区进行高质量评论(不少于10个字),即可参加抽奖活动
活动时间:截至2023-11-1 17:00:00
通知方式:通过私信联系中奖粉丝。
