DNS

在这篇文章中,我们将创建一些活动目录金丝雀来帮助我们检测遍历网络的威胁活动,我们会使用到HELK、SilkETW、DNS解析日志、Sysmon和一个假冒的SMB/SAMR服务器。
我们可以根据许多不同的分类法来分割被动DNS流量中看到的域名。今天我们将探讨一种不同的域名分类方法。
此前疑似来自伊朗的黑客组织开展了一系列DNS劫持活动,目前被命名为海龟活动
Sysmon在最近更新中添加了一个功能,可以记录DNS事件。这一点对防御方非常有用,但对攻击方而言,这意味着如果我们的植入后门或者payload尝试通过DNS进行通信,那么蓝队就有可能搜集到相关特征,用来检测攻击行为。
最近FireEye的Mandiant事件响应和情报团队发现了一波DNS劫持活动,该活动已经影响到了中东、北非、欧洲和北美的政府、电信和互联网设备实体的数十个域名。
不知你是否会好奇 DNS 隧道为什么会有那么强大?一方面是因为 DNS 报文具有天然的穿透防火墙的能力;另一方面,目前的杀毒软件、IDS 等安全策略很少对 DNS 报文进行有效的监控管理:)
​DNS Rebind Toolkit是用于开发针对本地局域网脆弱主机和服务的DNS重绑定攻击的前端JavaScript框架。它可以用的目标设备是像Google Home、Roku、Sonos WiFi扬声器、WiFi路由器、“智能”恒温器和其他物联网设备等设备。
也许在渗透和红队中使用的最著名的Post-Exploitation技术之一,就是在PAM生态系统中打开后门来收集有效的凭证。通过后门获取的证书将帮助我们轻松地实现机器之间的横向移动。
谷歌安全研究人员,发现某游戏平台存在漏洞。该平台应用中嵌套着 Blizzard Update Agent 组件,采用内建RPC代理的方式对应用进行维护,并随主程序一起启动。
ISC 为 BIND 发布更新,修复一个可导致一些 DNS 服务器崩溃的远程可利用的安全漏洞。是由一个使用后释放 bug 引发的,可导致出现断言失败错误以及BIND 域名服务器 (named) 进程崩溃。