正文

向黑灰产宣战!

admin
admin V管理员 /0 评论 /5 阅读
0924
文章最后更新时间2025年09月24日,若文章内容或图片失效,请留言反馈!

免责声明

由于传播、利用本公众号"零漏安全"所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号"零漏安全"及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢!

9月14日,由中国计算机行业协会黑灰产检测与反制工作委员会(以下简称“工委会”)、山东省互联网协会和浙江省互联网协会联合主办的2025黑灰产检测技能大赛初赛取得圆满成功。本次大赛以技术实战为导向,采用积分制竞赛规则,设置了黑灰产技术反制赛道、反欺诈追踪与溯源分析两个赛道,涵盖了逆向分析、业务安全、环境伪造与风控对抗、数字取证、开源情报研判与溯源、黑产数据挖掘与团伙画像六大竞技主题,吸引了来自全国公安、基础电信企业、金融、教育等各行业领域单位、黑灰产检测技术研究者和个人爱好者等200支队伍近500名专业选手报名参赛。

有一个 vbs 脚本触发了 Windows Defender 查杀。这个文件的完整文件名是什么?请将文件名计算 md5 后进行提交
winlog.provider_name:"Microsoft-Windows-Windows Defender" AND winlog.event_id:1116 AND (process.name:wscript.exe OR process.name:cscript.exe OR process.command_line:*.vbs OR message:*.vbs*)
md5一下得出答案
也可以直接搜索vbs,就是需要花费一些时间查找
嫌疑人在受害者电脑上执行了恶意 vbs 脚本、受害者电脑“上线”了。请找出 vbs 脚本通联的 IP 与端口。答案提交格式 flag{md5(ip:port)}
查找主机名为braavos并且筛选出日志中 network 下的任意字段有值和筛选出有 目标 IP 字段 的日志
host.name:"braavos" AND (network.*:*AND destination.ip:
跟第一题联系一下时间,就可以得到答案了
嫌疑人使用了什么工具成功的将权限提升至了 "nt authoritysystem" 权限。请将完整的文件名计算 md5 值后作为 flag 提交。提交格式flag{md5(filename)}
常用的工具直接正则一下就好了,最后出来应该是juicypotato
工具就那么几个,正则下就好了,也是很简单
(message : *mimikatz* OR message : *JuicyPotato* OR message : *PrintSpoofer* OR message : *procdump* OR message : *psexec* OR message : *Invoke-PrivilegeEscalation*)
嫌疑人使用了什么工具进行隧道代理。请将完整的文件名计算 md5 值后作为 flag 提交。提交格式为:flag{md5(filename)}
跟第一问和第二问联系一下,找到主机名为braavos并且ip为172.30.143.124的进程
host.name : "braavos" AND process.command_line : *172.30.143.124*
很明显的tcp隧道/代理连接行为
嫌疑人创建一个恶意用户、请将用户名计算 md5 后作为 flag 提交 提交格式为 flag{md5(name)} user name
在 Windows 系统里,这类事件通常会记录在 安全日志 / process / command_line / Windows Event ID 4720(新用户创建)或者通过命令行工具(net user / powershell New-LocalUser)执行
查找4720并且主机名为braavos的
嫌疑人使用了xp_cmdshell 横向移动到了另外一台服务器、获取了 sql_svc 账号的访问权限。该服务器的IP地址是什么。请将IP地址计算 md5 值后作为 flag 提交、提交格式为 flag{md5(ip)
直接搜索就好了,也比较简单
嫌疑人通过该 ip 的 web 上传了一个 webshell。请将该文件的文件名(不需要文件后缀)、计算 md5 并作为 flag 提交。提交格式: flag{md5(filename)}
上传webshell的话一般都是post方式
找IP为192.168.56.22并且通过post方式上传的包
destination.ip : "192.168.56.22" AND http.request.method : "POST"
有多少个域? 请将域名整理并计算 md5 值进行提交。 提交格式为:flag{md5(domain1_domain2_domain3)}
winlog.event_data.TargetDomainName: *
三个local秒了
嫌疑人使用了什么应用程序来枚举 AD 域。请将文件名计算 md5 作为 flag 提交、提交格式为 flag{md5(filename)}
就那么几个工具,正则一下就好了
(process.command_line : "*adfind*" OR process.command_line : "*SharpHound*" OR process.command_line : "*SharpHound.exe*" ORprocess.command_line : "*SharpHound.ps1*" OR process.command_line : "*PowerView*" OR process.command_line : "*Get-NetUser*" ORprocess.command_line : "*ldapdomaindump*" OR process.command_line : "*dsquery*" OR process.command_line : "*nltest*" ORprocess.command_line : "*net user*" OR process.command_line : "*net group*" OR process.command_line : "*whoami /all*" ORprocess.command_line : "*netdom*" OR process.command_line : "*ldapsearch*" ORprocess.name : "adfind.exe" OR process.name : "SharpHound.exe" OR process.name : "nltest.exe" ORprocess.name : "dsquery.exe" OR process.name : "net.exe" OR process.name : "whoami.exe" ORmessage : "*adfind*" OR message : "*SharpHound*" OR message : "*PowerView*" OR message : "*Get-NetUser*" OR message : "*ldapdomaindump*")
在使用 smbexec 获取 192.168.56.11 的访问权限后、窃取了某个用户目录下的机密文件、请将文件的绝对路径值计算 md5 作为 flag 提交
我们只用关注窃取的机密文件,所以直接模糊匹配一下文件的后缀就好了
file.name : * .zip* or *.rar*  or *.7z* or *txt* 
很明显的password
Windows Defender Antivirus(微软防病毒引擎)对恶意软件进行了隔离操作;请找出被隔离的数目和在C:Windows 目录下的程序名称。提交格式为 flag{md5(日志条数 _a.exe_b.exe)}
先匹配一下Windows defender,在匹配一下隔离操作100710081116111711181119(这些 event_id 在 Defender 日志里对应 检测/隔离/移除恶意软件 的操作(winlog.provider_name : "Microsoft-Windows-Windows Defender"OR event.module : "windows"OR message : "*Windows Defender*")AND (winlog.event_id : 1007 OR winlog.event_id : 1008 OR winlog.event_id : 1116 OR winlog.event_id : 1117 OR winlog.event_id : 1118 ORwinlog.event_id : 1119OR message : "*quarantine*" OR message : "*quarantin*" OR message : "*quarantined*" OR message : "*quarantine action*")
这个要多试试,匹配出来的有十个左右,多试一下
已识别的威胁名称是什么,提交格式为 flag{md5(name)}
模糊匹配一下就好了
message : "*Trojan*" OR message : "*Worm*" OR message : "*Virus*" OR message : "*Ransomware*" OR message : "*Backdoor*" OR message : "*PUP*"
恶意的 vbs 脚本的文件SHA256 hash是什么,提交格式为flag{md5(sha256)}
直接匹配,发现有两个,试一试就好了
 file.hash.sha256 : *
最后试出来是这个
嫌疑人使用"sql_svc"用户执行了一个下载恶意文件的命令、命令的完整内容是什么,提交格式为 flag{md5(完整命令)}
正则+模糊去匹配一下
host.name:"braavos" AND (network.*:*AND destination.ip:0
smbexec 执行时创建的服务名称是什么。提交格式为 flag{md5(service1_service2)}
查 System 事件 7045(Service installed)里的 ServiceName / ImagePath / ServiceType 字段;或查 process.command_line / process.executable 有 sc create / sc.exe create / CreateService / net start / srvctl 等;或在目标主机上用 PowerShell 查询最近创建的服务记录
作者:晨星安全团队--rokki3

长按二维码识别关注


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com