北京快猫星云科技有限公司 Flashcat 产品技术交流 让监控分析变简单 INTERNAL OR RESTRICTED, ALL RIGHTS RESERVED © 北京快猫星云科技有限公司 由知名开源项⽬“夜莺”的核⼼开发团队组成： 夜莺是⼀款开源云原⽣监控⼯具，是中国计算机学会接受捐赠并托管的 第⼀个开源项⽬，在GitHub上有超过8500颗星，上百位社区贡献者， 上万家企业⽤户，是国内领先的开源可观测性解决⽅案。 构建了⼀个数据、平台、场景打通的⼀体化⽅案 INTERNAL OR RESTRICTED, ALL RIGHTS RESERVED © 北京快猫星云科技有限公司 Flashcat 的特点 统⼀采集 采⽤插件化思路，内置集成上百种采集插件，服务器、⽹络设备、中间件、数据库、应⽤、业务，云上 云下，均可监控，开箱即⽤。 统⼀告警 ⽀持指标告警、⽇志告警、智能告警，⽀持⼏⼗种数据源对接，收集各类监控系统的告警事件，进⾏统 Events、Profiling 等多种可观测性数据融会贯通，并预置⾏业最佳实践， 既提供全局业务视⻆、技术视⻆的驾驶舱，也提供层层下钻的故障定位能⼒，有效缩短故障发现和定位 时间。 统一采集 INTERNAL OR RESTRICTED, ALL RIGHTS RESERVED © 北京快猫星云科技有限公司 All-in-One 的数据采集器 Categraf • 是⼀款 All-in-One

稍微改下,定制下, 现有的规则可能⻢上就防不住了,且⼀直会处于疲于应付的被动防御状态 尤其是针对红队这种特殊场景的,你的实际对⼿很可能都是有⼀定技术实⼒的⼈ 所以针对每种核⼼的攻击技术技术展开做深⼊分析, 直接从源头上进⾏防御才是最靠谱的 虽然说短期这种成本代价相对较⾼, 但⻓期来看, 是⼀劳永逸的, 沉淀下来的这些东⻄最终也会慢慢形成⾃⼰产品的 核⼼竞争⼒和特⾊ 说⽩点,这种对抗,本质上拼的还是双⽅的技术实⼒ 对各种利⽤原理的深度理解和⼆次定制能⼒ 才是你的核⼼ ⽇常流程简要说明 ⼊⼝权限 => 内⽹搜集/探测 => 免杀提权[⾮必须] => 抓取登录凭证 => 跨平台横向 => ⼊⼝维持 => 数据回 传 => 定期权限维护 0x01 ⼊⼝权限获取 [前期侦察，搜集阶段本身就不存在太多可防御的点，⾮防 御重⼼] 绕CDN找出⽬标所有真实ip段 找⽬标的各种Web管理后台登录⼝ 批量抓取⽬标所有真实C段 并顺⼿到各个社⼯库中去批量查询这些邮箱曾经是否泄露过密码 ] ⽬标⾃⼰对外提供的各种 技术⽂档 / wiki ⾥泄露的各种账号密码及其它敏感信息 ⽬标微信⼩程序 分析⽬标app Web请求 借助js探针搜集⽬标内⽹信息 想办法混⼊⽬标的各种 内部QQ群 / 微信群 分析⽬标直接供应商 [尤其是技术外包] 根据前⾯已搜集到的各类信息制作有针对性的弱⼝令字典 ⽬标所⽤ Waf 种类识别 与 绕过 BypassWAF