1.威胁猎杀实战（一）：平台
2.冬训营丨高级威胁活动中C2的猎杀猎杀多样风格
3.怪物猎人世界介绍_怪物猎人世界是什么

威胁猎杀实战（一）：平台

       国内Threat Hunting通常被称为威胁追踪或狩猎，我们认为通过主动出击，源码"攻"与"防"相辅相成。代码在这一系列实战的猎杀猎杀第一篇中，我们将引导你快速搭建一个基于Elastic Stack的源码威胁猎杀平台，只需简单几步Copy and Paste操作。代码微擎中奖源码后续文章将对平台进行深化和完善。猎杀猎杀

       以下是源码搭建步骤：

        部署Elastic Stack (容器化)

        方式一：官方Binary软件包

        选择官方提供的五个软件包之一进行安装。

        方式二：源码安装

        需要安装依赖软件包，代码可能还需其他可选的猎杀猎杀依赖。

        方式三：容器化 (Docker)

        通过Docker快速部署和管理Elastic Stack。源码

        整合Elastic Stack、代码Kafka与Bro

        Bro日志处理

        学习如何配置Bro以输出日志，猎杀猎杀包括csv和json格式。源码

        Elastic Stack处理

        使用Elastic Stack直接处理csv日志，代码ahk源码合集或通过Kafka中转后处理json日志。

       安装Kafka

       安装Metron-Bro-Kafka插件

       配置Bro发送日志至Kafka

       配置Logstash接收Kafka日志

        致谢

        感谢HardenedLinux、Rock NSM和Security Onion团队的贡献和支持。

       这个实战系列将逐步帮助你构建一个强大的威胁猎杀平台，让你在网络安全领域更具主动性和效率。

冬训营丨高级威胁活动中C2的多样风格

       C2是什么？它是指APT组织掌握的基础设施，即IP、域名、URL。作为动词，C2意味着命令与控制（Command and Control），APT组织基于各种网络基础设施，如广域网/公网、局域网/内网、zkeys破解源码Tor洋葱路由、卫星等，对已成功入侵的目标进行控制、指令下发、资源下发和数据回传。

       在命令与控制过程中，APT组织通过OODA循环展开网空杀伤链，C2属于控制阶段。攻击方需要隐蔽自身行为和通信通道，即使被发现也难以定位真实的C2基础设施，甚至定位到基础设施也无法溯源到攻击方。攻击方为达成效果，使用了多种技术手段，包括Payload、黑马咆哮源码信道、协议、报文、基础设施和C2节点。以下将从基础设施角度，探讨C2的多样风格。

       案例一：APT组织入侵网站作为C2

       年，安天发布报告指出，攻击者利用BBS漏洞入侵网站，上传Webshell和其他组件作为C2。Webshell作为跳板机，实现邮件发送、信息接收和恶意载荷下载。通过分析发现，源码脚本之家攻击者可能使用自研Webshell，能够获取网站服务器信息。Webshell采用加密手段进行保护，但无法直接作为检测指标。

       案例二：APT组织利用DDR作为C2

       DDR是一种间谍活动策略，用于在未见面的情况下进行信息传递。越来越多APT组织将其用于合法Web服务作为C2，方便创建和测试环境，且加密报文难以直接封禁，对安全产品构成挑战。

       案例三：利用入侵的IoT设备作为C2

       海莲花组织自年开始使用IoT设备转发流量，隐藏真实C2地址，通过设备取证可获取真实C2节点。

       案例四：美国CIA自建C2基础设施控制平台蜂巢

       年，维基解密公开了CIA使用的Hive源代码和开发日志，Hive是用于控制恶意软件基础设施的组件，通过可选身份验证隐藏C2节点。

       案例五：使用可移动设备作为C2

       APT组织在隔离网络中使用可移动设备作为C2，如在SolarWinds供应链攻击中，APT组织利用基于Cobalt Strike的SMB管道作为内网C2。

       案例六：基于域名前置的隐蔽通道作为C2

       APT组织使用域名前置隐蔽通道和Tor洋葱路由隐藏C2节点。

       案例七：图拉组织利用卫星通信作为C2

       图拉组织通过中东和非洲国家的卫星网络进行通信，很难追踪到具体位置。他们可能通过BGP劫持卫星通信协议作为C2信道。

       案例八：利用其他组织的C2作为C2

       年，图拉组织劫持伊朗APT组织的网络基础设施作为恶意软件下载服务器，将恶意软件植入目标网络。

       结合案例，高级威胁活动中C2的多样风格得到抽象化总结。从威胁框架整体看，C2问题已不仅仅是单一维度。通过深入挖掘流量中的协议和文件格式，提升ATT&CK威胁框架的覆盖度。在定位、观察和情报层面形成闭环，针对C2的多样化情况进行猎杀与捕获。

怪物猎人世界介绍_怪物猎人世界是什么

       《怪物猎人世界》的伤害统计工具详细解析

       这款工具专门针对《怪物猎人世界》设计，旨在帮助玩家深入理解自己的伤害输出情况。首先，你需要解压缩该工具，并确保在游戏运行时启动，否则可能遇到错误。如果以管理员身份运行游戏，工具也需要同样的权限。它以半透明窗口显示，可轻松拖动到游戏画面之上，不影响游戏视野。

       值得注意的是，此插件仅适用于Steam版（版本号），并且已在Windows 上经过测试，确保其稳定性。对于早期Windows版本，可能需要NET Framework 4.7.2的支持才能运行。

       伤害统计工具的作用是实时显示你和队友的攻击输出，包括所有战斗中的数据，如鞭尸、爆弹等。然而，由于数据直接来源于游戏内记录，某些环境伤害或特殊情况下，可能与实际伤害存在差异。比如，有一次作者在猎杀尸套龙时，伤害被低估了大约点，这可能是游戏内部记录错误，而非工具问题。

       为了保持游戏的沉浸感，官方并未在任务中显示具体伤害数值。如果你非常需要这些数据，可以自行对工具进行修改，因为其源码未加密。

       总的来说，这款伤害统计工具为《怪物猎人世界》玩家提供了一种直观的自我评估和团队协作的方式，但使用时需理解其数据的准确性可能受到游戏机制的影响。