最近离职了,换了一家安全公司,已经入职三周了,渐渐的找到了工作的感觉,同时也发现有更多的知识要学习,上周同事分享了一个主机威胁狩猎工具,他自己基于C# 独立完成的[1],非常有意思,据说是比BeaconEye更强的beacon扫描器,可以扫描进程内存中可能存在的CobaltStrike beacon程序、C2 profile,简直顶瓜嘎~
ailx10
网络安全优秀回答者
网络安全硕士
去咨询
首先检查一下环境,win10或.net4.6+win7,这里我使用的是win10,自带来.net4.6,如果是win7环境,需要安装.net4.6,建议都试一下,我的win10很遗憾,在webshell扫描的过程中出问题了~
reg query "HKLMSOFTWAREMicrosoftNet Framework SetupNDP" /s
第一个功能:Webshell扫描,这里不知道为什么,运行扫描程序就挂掉了,使用的是管理员权限,暂且忽略吧~
第二个功能:beacon扫描,接下来我们测试一下Beacon,这里需要先构造一个C2连接,上CS脚本小子~
使用Beacon扫描进程,确实发现咱们的artifact.exe存在beacon
第三个功能:扫描进程内存中是否被注入可疑PE文件,使用MemHunter扫描,同样发现artifact进程异常~
一入安全深似海,从此休息是路人,活到老,学到老,一点没错~
参考
^BlueHound 主机威胁狩猎 https://github.com/10000Tigers/BlueHound
发布于知乎 2022-07-07 22:27
