MalwLess: 攻擊行為模擬器

就像安裝防毒軟體一樣,企業會架設各種監測工具,試圖從中識別出攻擊行為,藉此將傷害降到最低。嘴巴上說架設完畢,但心中仍有些不確定,機制是否真正有效,系統是否有正確運作,只有測試過才知道。測試的方法可以是放隻惡意程式,也可以做個模擬,MalwLess 正是一個專門針對 Blue Team 檢測機制做攻擊模擬的工具,MalwLess 透過 Sysmon 建立可疑行為事件,藉此測試檢測系統是否有成功偵測,而不用擔心測試的惡意程式像保護傘公司一樣無法收拾。

RDP 事件紀錄

RDP Event Log Forensics 使用遠端登入時可以分成幾種情境 登入成功、登入失敗、斷線、重連、登出 而其中每個情境都會有不同的 Log,除了從Security Event Log中可以看到紀錄,也會出現在 Microsoft-Windows-Terminal-Services-RemoteConnectionManager 中。 在RDP 成功登入的情境中,又分為成功連線 Eve …

IIS ShortName Scanner: IIS 短檔名列舉工具

IIS ShortName Scanner 在Windows下檔案名稱中存在8.3短檔名 ,在cmd下輸入”dir /X” 即可看到,而 tilde 就是短擋名中的波浪(~)符號。IIS在解析網址時會針對這種短擋名回應不同的HTTP狀態碼,我們可以透過不同的狀態碼來判斷檔案或目錄是否存在,進而列舉出該網站下的檔案目錄(僅能列舉檔名六碼、副檔名三碼)。 大家對這個弱點比較了解 …