介紹

攻擊者初步取得內網權限後，藉助跳板機接通過各種方式來獲取目標系統許可權，進一步入侵內網其他伺服器。包含取得內網使用者密碼，網域權限…等。最後再從中取得重要資料或加密勒索，達到入侵目的。

說明

Microsoft Network Monitor是由微軟出的網路封包分析工具，主要功能跟wireshark類似，有興趣的下可以載來玩玩。安裝後要重登入，才可以讀到網路界面卡。

說明

Event id 6005 說明了Event log開始紀錄，也代表了開機時間，6006為Event Log停止記錄，也代表了關機時間

Get-EventLog -LogName System |? {$\_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap

如果要存到特定檔案，可在後面加入>來進行輸出

本篇文章介紹Windows Event Log中的類型與稽核原則。後續並介紹建議設定的稽核原則內容與監控的方向。

介紹

資安監控可以有效的發現場域內需要注意的事項，在組織內部的監控設備中，AD上的Event Log是絕對不可少的，從Windows 2008跟Vista開始，Windows 提供了以下 9 種 Event log 類型。

主要利用volatility framework 2.6執行

識別system profile

python vol.py -f %image\_name% imageinfo

pslist

pstree

cmdscan

延伸閱讀

• [轉]藍隊訓練
• [轉]病毒分析教學 Malware-Analysis-Training
• 藍隊營運Blue Team Operations [Part 1]: How Corporate and Enterprise SOC Operate?
• 藍隊營運Blue Team Operations [Part 2]: How To Investigate Malware Incidents as a SOC Analyst

在資訊安全領域中，不論扮演的是紅隊還是藍隊，都需要的公開資訊蒐集的能力。如有需要知道的IP與Domain Name，可利用下面的網站查詢

IP/DN 資訊查找

• https://community.riskiq.com
• https://www.robtex.com/
• https://www.shodan.io/
• http://ping.chinaz.com/
• https://whois.chinaz.com/

延伸閱讀

• 工具介紹-Shodan