• 本文转载于跳跳糖安全社区，原文链接为https://tttang.com/archive/1662/

0x00 每周蓝军技术推送（2022.5.14-5.20）

• 这一周的推送，主要学习了三部分内容：
• 篡改注册表与ETW，隐匿执行计划任务
• 使用NtCreateUserProcess进行PPID欺骗 和BlockDLL
• Windows环境下的自保护探究
  阅读全文 »

0x00 背景

         近期，在狩猎中，捕获到一批高度免杀的CobaltStrike样本，经过分析，目前这些免杀样本具备以下几种特征，第一，不在拘泥于传统的C++作为编程语言，也会采用C#或者Golang，或者脚本语言也会在整个攻击链中使用不同的语言，使用C++可能对使用者的要求有所提高，但是免杀效果可能更好。第二，对于shellcode的加密方式，不在拘泥于传统的异或或者AES，Base等公开的加密编码算法，也会采用一些好玩的，个性化的编码算法进行shellcode加密。第三，在开辟内存空间的时候，也不在使用传统的VirtualAlloc等R3层的API函数，更多的使用基于底层的API函数，第四，在调用shellcode过程中，也不像往常一样使用常规的方式调用shellcode，而是利用一些API的机制(CreateThread)，或者回调机制(EnumSystemLocalesW)，以及APC。

0x00 这一周的推送主要介绍的都是一些工具

每周蓝军技术推送（2022.4.30-5.6)

0x01 企业级EDR绕过技术

• 原文名称：A blueprint for evading industry leading endpoint protection in 2022
• 作者主要介绍了规避现代EDR的几种常见思路

前言

• 这是学习Mimikatz工作原理的无总结笔记。主要包含了sekurlsa::msv,sekurlsa::pth,lsadump::dcsync,票据传递等功能的原理分析和检测。
  阅读全文 »

0x00 绿盟科技-每周蓝军技术推送（2022.4.9-4.15）

• 原文链接：每周蓝军技术推送（2022.4.9-4.15）

0x1 前言

      本文主要通过逆向分析的方法分析PsExec的技术实现和有关PsExec和类PsExec工具的检测方法，当然其中也会掺杂一些乱七八糟的点，都是学习PsExec的一些总结。本文行文仓促，如有错误，请各位积极指正。

• 本文转载于跳跳糖安全社区，原文链接为https://tttang.com/archive/1624/

• 本文转载于跳跳糖安全社区，原文链接为https://tttang.com/archive/1639/