以下的所有技术点也⼏乎都是完全站在这种场景和⻆度下来考量梳理的 需要特别说明的是, 所有攻击⼿法在现实中都绝不是完全孤⽴使⽤的, 往往很多⼿法都是相互灵活组合起来进⾏循环 利⽤ 由于绝⼤部分内容都是基于本⼈平时学习实战积累的⼀些经验,加之每个⼈的实际渗透思路都不同 所以肯定会有遗漏的地⽅,也欢迎弟兄们⼀起来积极指正补充完善 所以肯定会有遗漏 ⽅, 欢迎弟兄们 起来积极指 补充完善 个⼈觉得 获取当前系统所有本地⽤户及组列表 获取当前系统host⽂件内容 获取当前机器硬件设备信息[ 主要为判断当前机器是否为虚拟机 ] 远程截屏捕捉⽬标⽤户敏感操作 由于上述⼤部分的搜集动作都是基于系统内置⼯具和接⼝,故,可完全依靠EDR来实时捕捉各类敏感进程上报恶意操作 利⽤当前已控 "跳板机", 分析⽬标内⽹⼤致⽹络拓扑 及 所有关键性业务机器分布 批量抓取内⽹所有 windows 内⽹安全 [跨平台横向渗透 (远程执⾏)，防御重点 ( "重中之重" ) ] 从 Windows 平台 横向⾄ Windows 平台 注: 以下某些远程执⾏⽅式, 即可直接⽤明⽂账号密码 亦可 基于pth来进⾏, 不局限 远程服务管理 [ SCM ] 远程创建执⾏计划任务 [ Scheduled Tasks ] WMI 远程执⾏ [ WMI ] 针对⾼版本Windows 的WinRM

⼀个⼈⼒。 2. 建⽴了⼀整套稳定性的量化体系，依靠北极星第⼀时间发现故障，依靠灭⽕图 定位故障，利⽤FlashDuty实现告警值班和故障协同处理，缩短了整个故障处理 的时间。 六分科技： 基于虚拟参考站技术原理，依托在全国⾃建的约3000个CORS基站，⾃研终端RTK算法与组合 导航算法，以“⽹-云-端”⼀体化解决⽅案为海量⽤户提供5系统16频点、全天候、实时厘⽶级和 亚⽶级的⾼精度定位 某国内领先的医疗⼤健康产业集团 http://flashcat.cloud/blog/case-flashcat-in-medicine-company/ 痛点： 1. 故障发现慢，主要依赖⽤户保障 2. 缺乏基于业务视⻆的全链路监控，故障定位耗时较⻓ 3. 缺乏对重要故障场景的应急预案的梳理和演练 效果： 1. 通过落地Flashcat平台，公司A级产品线北极星指标监控实现了全覆盖，P3级 及以上故障 痛点和挑战 p 如何⾼效的集中监控所有的⻔店？ p 如何度量、发现、治理有 IT 隐患的⻔ 店？ p 如何让总部 IT 先于⻔店发现故障？ 解决⽅案： Flashcat 连锁⻔店集中监控⽅案，基于All-in-One 的开源采集器Categraf，加上业界领先的开源监控 夜莺（Nightingale），集中化的监控所有的⻔店， 并采⽤数据驱动的理念，对所有的⻔店 IT 健康状态 进⾏