超级会员免费看
突破日志与防线:黑客的智慧与策略
1. 入侵受挫与初步分析
在尝试入侵时,遇到了问题。Laura的密码被拒绝,尝试另外三个通过钓鱼获取的随机凭证,也都收到了同样的错误消息。很可能在过去八小时内,有四个账户被封锁或重置。这让我们意识到,Strat Jumbo可能察觉到了我们的入侵并迅速做出了反应,我们需要制定新的计划。
为了避免被轻易追踪,我们搭建了两层服务器堆栈来与目标交互。即便在寒冷的火车站或咖啡店待上六小时来隐藏位置不太舒服,但这比起被半夜铐走,代价是非常低的。只要匿名平台和黑客基础设施稳固,我们相对是安全的。接下来,我们要弄清楚是如何被检测到的,以及面对的是怎样的安全系统。
我们回顾之前的行动:
- 发起了一次干净的钓鱼活动,使用每个用户只能访问一次的网页收集凭证,成功收集到35个密码。
- 36小时后,使用位于伦敦的私人服务器连接到Citrix外网网站,因为很多Strat Jumbo员工都在伦敦,这样做更具说服力。
经过分析,钓鱼活动不太可能是被检测的原因,因为检查Web服务器日志发现,活动开始17小时后所有流量就结束了,没有异常探测行为。而且我们的伦敦攻击服务器也未被列入黑名单,因为仍能访问Citrix平台。安全团队似乎只是紧急重置了密码以阻止可能的攻击,这表明他们还未发现问题的根源。
在登上Citrix服务器后,我们触发了一些AppLocker规则错误,尝试调用受约束语言模式禁止的PowerShell方法时也可能引起了注意。此外,手动侦察阶段的一些网络命令,如net group /domain和net group “domain admins” /domain,使用了Security Account Mana
订阅专栏 解锁全文
扫一扫
16万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
