慕长风的小酒馆
Github
Twitter
搜索
⌃
K
Links
🧑💼
关于我
⚔
安全攻防
揭秘rundll32中的攻防对抗
走近Windows中的提权行为
浅析DLL劫持与持久化
梳理横向渗透时的攻防姿势
🛡
威胁狩猎
基于异常行为检测CobaltStrike
利用RITA检测beacon通信
针对Office宏病毒的高级检测
💡
检测工程
威胁狩猎的最佳实践
检测即代码(Detection as Code)
由
GitBook
提供支持
Comment on page
基于异常行为检测CobaltStrike
前言
在很多攻击活动中,我们都能看到
CobaltStrike
的身影,所以,对于防御者,了解其在各个攻击阶段的行为特征是非常有必要的
上篇文章——
《威胁狩猎的最佳实践》
里提过一些检测方法,本文正好以CS为例,介绍下behavior-based的检测手段
全文结构参考ATT&CK攻击框架展开,主要涉及CS内置或者常用的使用姿势,检测思路仅供参考