Index 599

Uploaded by

Stephen Anderson

We take content rights seriously. If you suspect this is your content, claim it here.

Available Formats

Download as PDF, TXT or read online on Scribd

0% found this document useful (0 votes)

42 views10 pages

Index 599

Uploaded by

Stephen Anderson

We take content rights seriously. If you suspect this is your content, claim it here.

Available Formats

Download as PDF, TXT or read online on Scribd

You are on page 1/ 10

SEC599 – Defeating Advanced Adversaries

Topics XCHG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109

XOR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26
Ransomware ESP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109
(Not)Petya . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 RSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109
Cerber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 ZF (Zero Flag) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26
Crysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–31
Goldeneye . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 Microsoft Security Bulletin
HDDCryptor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 MS10-046 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–37
Jigsaw . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 MS10-061 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–37, 3–151
LeChiffre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 MS10-073 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–38
Locky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 MS10-092 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–38
Petya . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 MS14-025 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–49
Popcorn Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–31 MS17-010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–46
Sage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109
Wcry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 Windows API
CreateThreat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–119
Malware RtlMoveMemory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–119
Agent.BTZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–50 ShellExecute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–117
Angler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6, 2–58 URLDownloadFile . . . . . . . . . . . . . . . . . . . . . . . . . . 2–117
BlackEnergy . . . . . . . . . . . . . . . . . . . . . . 1–44-45, 2–120 VirtualAlloc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–119
Carbanak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–19
Carberp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–19 PowerShell
Citadel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–17 Get-ChildItem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–36
Dridex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–17, 1–21 Get-ExecutionPolicy . . . . . . . . . . . . . . . . . . . . . 2–135
EternalBlue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–47 Invoke-Command . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–36
EternalRomance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–47 Invoke-Expression . . . . . . . . . . . . . . . . . . . . . . . 2–135
KillDisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–45 Start-Transcript . . . . . . . . . . . . . . . . . . . . . . . . 2–155
liboradb.dll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26 Test-Connection . . . . . . . . . . . . . . . . . . . . . . . . . . 2–133
NotPetya . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–46-47 Write-Host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–134
Rig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6, 2–58
s7otbxdx.dll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–42 EventId
Shamoon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137 106 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–139
SpyEye . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–17 140 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–139
Stuxnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–34-43 141 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–139
Sundown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–58 4104 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–159
Terror . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–58 4624 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–107, W–314
Turla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–50 4634 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–107
Zbot → Zeus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4648 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–114
Zeus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–18 4657 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–142
ZitMo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–18 4672 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–107
4688 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–117, 2–152
MetaSploit 4689 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–117
exploit/ 4697 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–145
multi/handler . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–8 4728 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–22
post/windows/gather/ 4768 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–24
enum ad computers . . . . . . . . . . . . . . . . . . . . . .W–19 4769 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–105
enum applications . . . . . . . . . . . . . . . . . . . . . . . W–19 5137 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–27
enum files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–19 5140 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–40
post/windows/local/ 5141 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–27
persistnce/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–141
registry persistence . . . . . . . . . . . . . . . . . . . . . . 3–141

Assembly
JNZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26
NOP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26
POP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109
PUSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109
RET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109
TEST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 1
SEC599 – Defeating Advanced Adversaries

# Category . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–93
Configuration . . . . . . . . . . . . . . . . . . . . . . . 2–93, W–101
1-Day Exploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–50 Event logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–96
802.1AE-2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–32 GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–104
802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24, 2–27, 2–33 Rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–94-95
802.1X-2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–32 Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–92
%TEMP% . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–123 AppVerifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–31
%SYSVOL% . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–50 APT Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–56
APT Simulator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–82
APT28 . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–140, 3–146, 3–154
A APT29 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–149, 3–169
APT30 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–140
Active Defense Harbinger Distribution (ADHD) 4–125 Artillery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–131
Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–6 ASLR → Address Space Layout Randomization . . . . . .
Admin Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–14 ASR → Attack Surface Reduction . . . . . . . . . . . . . . . . . . . .
Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–9 Assembly, example (liboradb.dll) . . . . . . . . . . . . . . . . .1–26
Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–7 AssemblyLine . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–150
Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–7 Atomic Red Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–84
Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–4 Attack Surface Reduction (ASR) . . . . . . . . . . . . . . . 3–110
Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–13 AutoPlay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–16
Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–7 Autopsy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–146
Persistence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–3 AutoRun . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–16
Backup files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–3 Autoruns . . . . . . . . . . . . . . . . . . . . . . . . . . 3–158-160, W–196
Golden Ticket . . . . . . . . . . . . . . . . . . . . 5–9-11, 5–24 Awareness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–7-9
Impersonation . . . . . . . . . . . . . . . . . . . . . . 5–18, 5–27
New user . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–7, 5–22
Replication . . . . . . . . . . . . . . . . . . . . . . . . . 5–16, 5–26 B
Skeleton Key . . . . . . . . . . . . . . . . . . . . . . . 5–14, 5–23
Tiered Admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–30 Bangladesh Heist . . . . . . . . . . . . . . . . . . . . . . . . . . 1–17, 1–21
Trust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–20 Fraud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–29
Users and groups . . . . . . . . . . . . . . . . . . . . . . 4–14, 4–27 Intrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–25
Local users and groups . . . . . . . . . . . . . . . . . . . .4–32 Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26-28
ActiveX . . . . . . . . . . . . 2–104, 2–106, 2–109, 2–111, 2–125 Takeaways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–30
Address Space Layout Random. (ASLR) . . . 3–70, 3–78 Banking Trojan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–18
Bottom-Up ASLR (BASLR) . . . . . . . . . . . . . . . 3–101 Base64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–118
Mandatory ASLR (MASLR) . . . . . . . . . . . . . . . 3–101 Basic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–103
AddressOfFunction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–100 BASLR → Bottom-Up ASLR . . . . . . . . . . . . . . . . . . . . . . . .
ADHD → Active Defense Harbinger Distribution . . . . . Beaconing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–177
Admin Approval Mode . . . . . . . . . . . . . . . . . . . . . . . 4–36-37 beRoot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–243
ADMX Template . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–109 BeRoot.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–51
ADS → Alternate Data Stream . . . . . . . . . . . . . . . . . . . . . . Binary Scrambling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–126
Adversary Emulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–65 BinDiff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–65
AFL → American Fuzzy Loop . . . . . . . . . . . . . . . . . . . . . . . . BlackEnergy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–44-45
AIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–151 BloodHound . . . . . . . . . . . . . . . . . . . . . . . . . 4–85-87, W–271
Alert Fatigue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–103 Deception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–137
AlienVault OTX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–79 Prevention and detection . . . . . . . . . . . . . . . . . . . . 4–88
Alternate Data Stream (ADS) . . . . . . . . . . . . . . . . . . 2–131 Blue Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–70
American Fuzzy Loop (AFL) . . . . . . . . . . . . . . . . . . . . 3–40 Bootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–153, 3–155
AMSI → Antimalware Scanning Interface . . . . . . . . . . . . Box . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–50
Anonymous . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–57 Bro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–61, 1–96
Ansible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–111 Bromium vSentry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–125
Antimalware Scanning Interface (AMSI) . . . . . . . . 2–144 Bug Bounty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–29
Anunak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–19 BYOD → Bring-your-own-device . . . . . . . . . . . . . . . . 2–27
Apache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–135
AppArmor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–90
Application Blacklisting . . . . . . . . . . . . . . . . . . . 2–89, 2–99 C
Application Whitelisting . . . . . . . . . . . . . . . . . . 2–89, 3–138
AppLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–90, W–101 C99 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–135
Bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–111 Cabinet File Content . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–56

Caldera . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–85 Cached credentials . . . . . . . . . . . . . . . . . . . . . . . . . . 4–58

Canary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–127, 4–134 Finding where . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–85
BloodHound . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–137 LSASS Memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–59
Domain Administrator . . . . . . . . . . . . . . . . . . . . . 4–137 Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–68
Fake Administrative Accounts . . . . . . . . . . . . . .4–135 Credentials leaks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–145
Fake documents . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–139 Crypto-mining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–32
Honeyhash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–136 CScript → Windows Script Host (WSH) . . . . . . . . . . . . .
Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–140 Cuckoo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–67
Canarytoken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–140-144 Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–68
Capability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–67 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–72
Carbanak . . . . . . . . . . . . . . . . . . . . . . . . . . .1–17, 1–19, 3–143 Reporting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–69
CCleaner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–46 Signature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–71
Censys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–157 CVSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–19
CERT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–122 Cybercrime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–15, 1–17
Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–45
CertStream . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–157
CFG → Control Flow Guard . . . . . . . . . . . . . . . . . . . . . . . . . D
CFI → Control Flow Integrity . . . . . . . . . . . . . . . . . . . . . . . .
China Chopper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–134 DarunGrim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–65
CIRCLean . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–22 Data Execution Prevention (DEP) . . . . . . . . . 3–70, 3–79
CIRT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–122-123 Data Exfiltration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–31
CIS Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–88 Behavior-Based Detection . . . . . . . . . . . . . . . . 5–58-61
Cisco Umbrella . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–91 Bro Exfil Detection . . . . . . . . . . . . . . . . . . . . . . . . . 5–61
Client Isolation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–101 Collect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–33, 5–48
Cloudflare . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–93 Exfiltrate . . . . . . . . . . . . . . . . . . . . . . . 5–33, 5–49, 5–63
Cobalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–141 Exfiltrate prevention . . . . . . . . . . . . . . . . . . . . . . . . 5–56
Code analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–31 Network protocols . . . . . . . . . . . . . . . . . . . . . . . . . . .5–53
Dynamic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–11 Online Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–50-51
Static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–10, 3–32 Print . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–62
Code Coverage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–40 Search . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–32, 5–34
CodeSearchDiggity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–32 Search detection and prevention . . . . . . . . . . . . . 5–40
COM Object Hijacking . . . . . . . . . . . . . . . . . . . . . . . . . . 1–52 Signature-Based Detection . . . . . . . . . . . . . . . . . . 5–57
ATT&CK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–79 Tools for searching . . . . . . . . . . . . . . . . . . . . . . . 5–36-38
COM Search Order . . . . . . . . . . . . . . . . . . . . . . . . . 1–52 Yara . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–39
Phantom COM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–52 Data Exflitration Framework . . . . . . . . . . . . . . . . . . . 1–100
Command & Control . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–165 Data Loss Prevention (DLP) . . . . . . . . . . . . . . . . . . . . .5–56
Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–172 Data Offline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–43-45
Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–171 DCOM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–149
Command-Line Logging . . . . . . . . . . . . . . . . . . . . . . . . 2–152 DCShadow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–18-20, 5–27
Common Information Model (CIM) . . . . . . . . . . . . . 3–149 DCSync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–16, 5–26
Compound File Binary Format → OLE . . . . . . . . . . . . . . Deception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–126, 4–146
Control Flow Guard (CFG) . . . . . . . . . . . . . . . . 3–70, 3–84 Decoy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–126, 4–146
Control Flow Integrity (CFI) . . . . . . . . . . . . . . . . . . . . 3–87 File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–47
Control Panel Item . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–19 Deep Panda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–134
CopyKittens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137 Demiguise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–112
CoreImpact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–50 Denial of service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–15
Cortex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–152 DEP → Data Execution Prevention . . . . . . . . . . . . . . . . . .
Cowrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–132 Detecting Attacks
CPM→ Control Panel Item . . . . . . . . . . . . . . . . . . . . . . . . . . Complexity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–104
CRC32 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–38 Real-Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–101
Credential Guard . . . . . . . . . . . . . . . . . . . . 4–59, 4–66, 4–74 Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–105
Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–74 vs. Hunting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–107
Remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–80 Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–115
vs. Keylogger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–79 Device driver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–40
vs. Pass-the-hash . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–78 Device Guard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–60
Credential Theft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–55 DIAMETER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24
Access Token . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–56 Diaphora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–65
BloodHound . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–85 DigiNotar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–46
Directory Replication Service Remote (DRSR) . . . 5–17

DKIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6 EVE JSON . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–99

DKIM → Domain Keys Identified Mail . . . . . . . . . . . . . . . Event log
DLL AutoRun . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–160
liboradb.dll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26 EventID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–113, 1–120
LNK loading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–37 Mapping to ATT&CK . . . . . . . . . . . . . . . . . . . . . 1–122
Patching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26 EventLog . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–113, 1–119-121
payloadrestrictions.dll . . . . . . . . . . . . . . . . . . . . W–184 Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–123
scobj.dll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–99 What to collect? . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–132
Search Order Hijacking . . . . . . . . . . . . . . . . 3–146-148 eventvwr.msc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–119
DLP → Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . . EVT(X) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–119
DMARC → Domain-Based Message Authentication, eXecute Disable (XD) . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–79
Reporting and Conformance . . . . . . . . . . . . . . . . Exploit Kit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–58
DNS Behavior . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–60
Exfiltration . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–53, 5–60 Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–60
Securing Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–93 Exploit Mitigation Controls . . . . . . . . . . . . . . . . . . . . . . 3–70
Traffic pattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–98 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–88
Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–74 ExploitGuard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–92
Domain anomaly detection . . . . . . . . . . . . . . . . . . . . . 3–174 Arbitrary Code Guard . . . . . . . . . . . . . . . . . . . . . 3–106
Domain Fronting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–167 Block Low Integrity Images . . . . . . . . . . . . . . . . 3–117
Prevention and detection . . . . . . . . . . . . . . . . . . .3–168 Block Remote Image . . . . . . . . . . . . . . . . . . . . . . . 3–104
Domain Keys Identified Mail (DKIM) . . . . . . . . . . . .2–52 Block Untrusted Fonts . . . . . . . . . . . . . . . . . . . . . 3–111
Domain-Based Message Authentication, Reporting and Bypasses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–119
Conformance (DMARC) . . . . . . . . . . . 2–6, 2–54 Code Integrity Guard . . . . . . . . . . . . . . . . . . . . . . 3–110
DownDelph . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–146, 3–154 Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–96-97
DREAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–19, 3–27 Core Isolation and Memory Integrity . . . . . . . 3–118
DropBox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–50, 3–170 Disable Extension Points . . . . . . . . . . . . . . . . . . . 3–113
DropSmack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–170 Disable Win2k System Calls . . . . . . . . . . . . . . . 3–114
DRSR → Directory Replication Service Remote . . . . . . Do not Allow Child Processes . . . . . . . . . . . . . . 3–115
DuckHunt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–18 Export Address Table Filtering . . . . . . . . . . . . 3–100
Duqu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–111 GUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–95
Dynamic Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–70, 3–78 Import Address Filtering (IAF) . . . . . . . . . . . . 3–101
Inner working . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–94
Load Library Protection . . . . . . . . . . . . . . . . . . . 3–104
E SimExec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–108
Validate API Invocation . . . . . . . . . . . . . . . . . . . 3–107
EAF → ExploitGuard, Export Address Table Filtering Validate Handle Usage . . . . . . . . . . . . . . . . . . . . . 3–112
3–100 Validate Heap Integrity . . . . . . . . . . . . . . . . . . . . 3–105
EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24 Validate Image Dependency . . . . . . . . . . . . . . . . 3–116
EAP Over LAN (EAPoL) . . . . . . . . . . . . . . . . . . . . . . . 2–24 Validate Stack Integrity . . . . . . . . . . . . . . . 3–108, 109
EAP-IKEv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24
EAP-PSK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24
EAP-PWD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24 F
EAT → Export Address Table . . . . . . . . . . . . . . . . . . 3–100
ECMAScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–103 Fenrir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–30
EDR → Endpoint Detection & Response . . . . . . . . . . . . . File Extension
EE-Outliers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–116 Association . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–114
ElasticSearch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–116 Blocking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–98
Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–117 Double extensions . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–17
ElasticStack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–116 File upload
EMET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–92, 2–119 Bypass protection . . . . . . . . . . . . . . . . . . . . . . . . . . 3–135
Attack Surface Reduction (ASR) . . . . . . . . . . . 3–110 FileBeat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–362
Bypasses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–119-121 FireGlass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–63
Caller Check . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–107 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–103
MemProt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–106 Flare . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–177-179
Empire . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–81, 2–139, W–207 FlashFlood . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–140
ENDBR32/ENDBR64 . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–87 Flightsim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–83
Endpoint Detection & Response . . . . . . . . . . . . . . . . 1–139 Flow data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–177
ESE → Extensible Storage Engine . . . . . . . . . . . . . . . 4–13 Footprint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–143
Espionage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–15, 1–49 Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–148

Technical . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–146 Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–113

Form grabbing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–18 HTTP Service Name Indication (SNI) . . . . . . . . . . 3–168
Fortify . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–10, 3–32 Hunting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–118
freq.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–174
Full Packet Capture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–95
Fuzzing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–11, 3–33
I
Intelligent Mutation . . . . . . . . . . . . . . . . . . . . . . . . . 3–39 IAF → Import Address Filtering . . . . . . . . . . . . . . . . . . . . .
Mutation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–38 IAT → Import Address Table . . . . . . . . . . . . . . . . . . . . . . . .
Randomized . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–37 ICMP Exfiltration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–53
Static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–36 Identity Theft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–56
FxCop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–31 IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–96
Host-based . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–103
Impact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–67
G Impersonation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–17
Import Address Table (IAT) . . . . . . . . . . . . . . . . . . . . 3–101
GateKeeper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–90 Incident Response . . . . . . . . . . . . . . . . . . . . . . . 5–121, 5–137
GDR → General Distribution Release . . . . . . . . .3–53-54 Containment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–133
Global Offset Table (GOT) . . . . . . . . . . . . . . . . . . . . . 3–101 Eradication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–134
Golden Ticket → Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–132
Google Chrome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–110 Lessons Learned . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–136
Google Drive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–50 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–124
Google Search Operators . . . . . . . . . . . . . . . . . . . . . . . 1–149 OODA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–126
GoPhish . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10 Playbooks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–130
GOT → Global Offset Table . . . . . . . . . . . . . . . . . . . . . . . . . Preparation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–127-129
GPO Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–125
AppLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–104 Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–135
Group Policy Management . . . . . . . . . . . . . . . . . W–28 Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–154
SMB Signing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–76 Incognito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–56-57
SysMon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–132 Indirect Branch Tracking . . . . . . . . . . . . . . . . . . . . . . . . 3–87
User Account Control (UAC) . . . . . . . . . . . . 4–36-39 Instagram . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–54
Grok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–118 Installutil.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–99
GroundBait . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–146 Intent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–67
Group Managed Service Accounts . . . . . . . . . . . . . . 4–107 IOC scanner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–89
Group Policy Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–6 IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–73
Group Policy Preference . . . . . . . . . . . . . . . . . . . . . . 4–49-50 IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–96
GRR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–147-150 IRMA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–152
Ivanti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–45

H J
Hammertoss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–169 JA3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–176, W–220
Hardening . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–104 JavaScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–103
Browser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–109 Javelin AD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–140, 4–145
Checklists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–105 JEA → Just Enough Admin . . . . . . . . . . . . . . . . . . . . . . . . .
Hardware Security Module (HSM) . . . . . . . . . . . . . . . 5–45 JHUHUGIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–140
Hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–72 John . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–4
HashCat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–6, 2–41 John the Ripper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–6
Heap Spray Protection . . . . . . . . . . . . . . . . . . . . . . . . . . .3–99 JScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–103
HoneyBadger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–130 Downloader . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109
Honeyhash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–136 Dropper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–110
Honeypot . . . . . . . . . . . . . . . . . . . . . . . . . . .4–127, 128, 4–133 Just Enough Admin (JEA) . . . . . . . . . . . . . . . . . . . 4–28-29
Artillery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–131
Cowrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–132
HoneyBadger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–130
K
Kippo Fake SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–132 Kali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–124
HSM → Hardware Security Module . . . . . . . . . . . . . . . . . . Kansa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–153
HSTS → HTTP Strict Transport Security . . . . . . 3–168 Kerberoast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–285
HTA → HTML Application . . . . . . . . . . . . . . . . . . . . . . . . . . Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–10-11
HTML Application . . . . . . . . . . . . . . . . . . . . . . 2–103, 2–112 AS-REQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–96

Attack . . . . . . . . . . . . . . . . . . . . . . . 4–101, 4–106, 4–108 Output . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–93

Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–92 Scoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–90
Encryption types . . . . . . . . . . . . . . . . . . . . . . . . .4–94-95 Lookaside Lists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–105
Fallback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–36 Lookyloo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–65
Golden Ticket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–9-11 Low Fragmentation Heap (LFH) . . . . . . . . . . . . . . . . 3–105
Mimikatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–12 LSASS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–17, 4–56
Kerberoasting . . . . . . . . . . . . . . . . . . . . . . . . . 4–101-102 Process tree . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–143-144
Kerberoasting (Defense) . . . . . . . . . . . . . . . . . . . 4–105 Protected Process . . . . . . . . . . . . . . . . . . . . . . . . .W–262
Kerberoasting (Tools) . . . . . . . . . . . . . . . . . . . . . . 4–104 Lumension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–49
Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–100
Over-pass-the-hash . . . . . . . . . . . . . . . . . . . . . . . . .4–108
PAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–97 M
PAC Validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–99
Pre-authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 4–96 Macro Content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–128
Silver Ticket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–106 Macros, blocking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–98
Silver Ticket (Defense) . . . . . . . . . . . . . . . . . . . . . 4–107 MACsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–32
Skeleton Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–14 Mail Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–57
ST (Service Ticket) . . . . . . . . . . . . . . . . . . . . . . . . . 4–98 Malware Traffic Analysis . . . . . . . . . . . . . . . . . . . . . . . . .2–60
TGT (Ticket Granting Ticket) . . . . . . . . . . . . . . 4–97 Malwarebyte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–122
Keyboard Layout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–38 Conflict with EMET . . . . . . . . . . . . . . . . . . . . . . . 3–124
Keylogging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–18 Man-in-the-browser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–18
Kibana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–42, 1–116 Mandatory Integrity Control (MIC) . . . . . . . . . . . . 3–117
Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–376 .manifest file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–148
Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–117 Mark-of-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–131
Visualization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–372 Market Share
Kill Chain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–66 Browsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–43
Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67 Operating Systems . . . . . . . . . . . . . . . . . . . . . . . . . . 3–42
Unified . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–68 MASLR → Mandatory ASLR . . . . . . . . . . . . . . . . . . . . . . . .
KillDisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–45 MassScan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–153
Kippo Fake SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–132 Master Boot Record . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–46
klist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–25 Master Boot Record (MBR) . . . . . . . . . . . . . . 1–31, 3–153
KolideFleet . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–137, W–363 MATA → Microsoft Advanced Threat Analytics 4–122
MBAE → Malwarebyte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
MBR → Master Boot Record . . . . . . . . . . . . . . . . . . . . . . . .
L MDM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–33
MDM → Mobile Device Management . . . . . . . . . . . . . . . .
LAPS → Local Administrator Password Solution . . . . . MEDoc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–46
Lateral Movement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–3 MemGC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–70
Detection . . . . . . . . . . . . . . . 4–115, 4–118, 4–121, 122 Memory Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . 5–141-145
M$ Advanced Threat Analytics (MATA) . . . 4–122 MetaSploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–7, 1–81
Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–3 UAC Bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–40
Sigma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–118 MIC → Mandatory Integrity Control . . . . . . . . . . . 3–117
Zeek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–121 Micro-Virtualization . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–125
Lazarus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–140, 3–143 Microsoft Advanced Threat Analytics (MATA) . 4–122
lcamtuf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–40 Microsoft Intune . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–90
Least Privilege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–24-26 Mimikatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–60-63, W–228
Link-local Multicast Name Resolution (LLMNR) 2–36, Deception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–136
W–79 Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–116
Linkos Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–46 Dump credentials . . . . . . . . . . . . . . . . . . . . . . . . . W–254
LLMNR → Link-local Multicast Name Resolution . . . . Golden Ticket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–12
LNK files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–37 Pass-the-hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–66
.local file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–148 Remove Protected Process . . . . . . . . . . . . . . . . W–265
Local Administrator Password Solution (LAPS) . .4–33 Skeleton Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–14
LogStash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–116 MISP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–81-87
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–38 MITRE ATT&CK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–78
Configuration and Parsing . . . . . . . . . . . . . . . . . 1–118 Navigator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–80
Loki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–89, W–357 Mobile Device Management (MDM) . . . . . . . 2–28, 2–90
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–91-92 Mobile Transaction Authentication Number . . . . . . 1–18
Log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–96 msfvenom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–5

mshta.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–112 PassiveDNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–93

mTAN→ Mobile Transaction Authentication Number Password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–19
MZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–80 Paste sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–51, 1–150
Patch
Binary Diffing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–64
N Binary Diffing (Example) . . . . . . . . . . . . . . . . 3–66-67
Uninstall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–68
NAC → Network Access Control . . . . . . . . . . . . . . . . . . . . .
Patch Reverse Engineering . . . . . . . . . . . . . . . . . . . . . . . 3–50
NBT-NS → NetBios NameServer . . . . . . . . . . . . . . . . . . . . .
PatchClear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–61
NetBios NameServer (NBT-NS) . . . . . . . . . . . . . . . . . 2–36
PatchDiff2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–65
Netflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–95
PatchExtract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–60
Network Access Control (NAC) . . . . . . . . . . . . . . . . . . 2–23
Patching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–44-45
Bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–29-31
Extraction Tool . . . . . . . . . . . . . . . . . . . . . . . 3–53, 3–55
Network Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–75
Microsoft Patch Distribution . . . . . . . . . . . . . . . . 3–49
Network Flight Simulator→ Flightsim . . . . . . . . . . . . . . . .
Microsoft Patch Extension . . . . . . . . . . . . . . . . . . 3–51
Network Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–94
Microsoft Patch Tuesday . . . . . . . . . . . . . . . . . . . . 3–46
Network Segmentation . . . . . . . . . . . . . . . . . . . . . . . . . .1–101
PatchLink . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–49
NIST Checklists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–105
Payload delivery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–3
NOSTRO/VOSTRO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–22
Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6
Not Executable (XD) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–79
Payload Execution . . . . . . . . . . . . . . . . . . . . . . . .2–88, 2–151
NotPetya
PE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–80
Attack chain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–47
PE infection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–6
NSM (Network Security Monitoring) . . . . . . . . . . . . . 1–96
Persistence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–130
ntds.dit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–4
Bootkits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–153
Extraction tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–5
Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–157
ntdsxtract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–5
Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–156
NTLMv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–12, 2–34
Registry Manipulations . . . . . . . . . . . . . . . . . . . . 3–140
Challenge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–35
Strategies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–133
NTOWF → NTLM One-Way Function . . . . . . . . . . 4–13
Task Scheduler . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–137
NX Bit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–79
Web Shells . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–134
NXDOMAIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–93
Windows Management Instrument. (WMI) .3–149
NXLog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–123
Windows Service . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–143
nxLog
Petya/NotPetya . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–129
Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–4-5
PingCastle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–21
PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–45, 46
O PLC (Programmable Logic Controller) . . . . . . . . . . . 1–33
Obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–107, 2–138 Polymorphic Malware . . . . . . . . . . . . . . . . . . . . . . . . . . 2–127
OCTAVE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–19 Polyverse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–126
OLE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–120 PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–103, 2–133
oledump.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–120 Constrained Language Mode . . . . . . . . 3–138, 2–143
OneDrive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–50 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–114, W–127
OpenDNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–93 Encoded Command . . . . . . . . . . . . . . . . . . . . . . . . 2–137
Operation BlockBuster . . . . . . . . . . . . . . . . . . . . . . . . . 3–143 Execution Policy . . . . . . . . . . . . . . . . . . . . . . . 2–134-135
Opportunity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–67 Hardening . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–141
OSQuery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–135, 3–161 Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–157-158
Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–136 Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–154
Kolide Fleet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–138 Obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–138
Outlook PE Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–99
Backdoor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–51, 1–55 Script Block Logging . . . . . . . . . . . . . . . . . . . . . . . 2–158
OVAL format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–106 Suspicious Commands . . . . . . . . . . . . . . . . . . . . . 2–160
Transcript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–155
v2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–146
P Without PowerShell . . . . . . . . . . . . . . . . . . . . . . . .2–147
PowerUp . . . . . . . . . . . . . . . . . . . . . . . . . 4–51, 3–147, W–244
Paranoid Phish . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–74 PowserSploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–133
Pass-the-hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–64-65 Prevention vs. Detection . . . . . . . . . . . . . . . . . . . . . . . . 1–87
Mimikatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–66 Prikormka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–146
Pass-the-ticket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–67

Print Spooler Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–37 Reverse Engineering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–50

Printer dots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–62 RFC 3748 (EAP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24
Private VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–102 Right-To-Left-Override . . . . . . . . . . . . . . . . . . . . . . . . . . 2–17
Privilege Escalation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–45 Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–67
Group Policy Preference . . . . . . . . . . . . . . . . . 4–49-50 Rita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–221
Service to System . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–56 RITA → Real Intelligence Threat Analytics . . . . .3–175
Unattended files . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–48 RomeoAlfa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–140
Unquoted Path . . . . . . . . . . . . . . . . . . . . . . . . . . 4–46-47 Rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–40
Process Creation Logging . . . . . . . . . . . . . . . . . . . . . . . 2–152 ROP → Return Oriented Programming . . . . . . . . . . 3–84
ProcFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–147, 2–164 Rotten Potato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–56
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–166 RPC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–41
Installing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–165 Rubber Duck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–18
Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–168 RunAsPPL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–71
ProjectSauron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137
Protected Domain Users . . . . . . . . . . . . . . . . . . . . . . . . . 4–69
Protected Process . . . . . . . . . . . . . . . . . . . . . . . 4–70, W–262 S
Bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–72, W–265
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–71 Sabotage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–15, 1–33
Mimikatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–72 Safe Structured Except. Handl. (SafeSEH) 3–70, 3–80
Protected View . . . . . . . . . . . . . . . . . . . . . . . . . . 2–124, 2–129 Chain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–81
Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–90 SafeSEH → Safe Structured Exception Handling . . . . .
Proxy Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–91 SAINTExploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–50
PSHunt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–116 Sandboxing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–66
PsLogList . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–119 Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–73
Purple Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–71-73 Stealth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–74
vs. Red team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–74 SANS SIFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–140
PwnPlug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–29 Satellite Connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–53
Pyramid of Pain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–71 Scans.io . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–153
Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–74 SCAP (Security Content Automation Protocol) . 1–105
Hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–72 Scripting Languages . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–103
IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–73 SCT (Security Compliance Toolkit) . . . . . . . . . . . . . 1–108
Network Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–75 PolicyAnalyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–21
Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–76 SDL → Software Development Lifecyle . . . . . . . . . . . . . . .
TTPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–77 SEADADDY . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–149, 3–151
Seasponge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–20
secretsdump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–5
Q Security Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–89
Security Compliance Manager (SCM) . . . . . . . . . . . 1–108
QFE → Quick Fix Release . . . . . . . . . . . . . . . . . . . . 3–53-54 Security Cookie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–86
Quad9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–93 Security Identified (SID) . . . . . . . . . . . . . . . . . . . . . . . . . 4–15
SEHOP → Structured Exception Handling
Overwrite Protection . . . . . . . . . . . . . . . . . . . .
R SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–90
Sender Policy Framework (SPF) . . . . . . . . . . . . 2–6, 2–49
RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24 Check . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–50
Ransomware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–15 Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–50
RDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 Session Initiation Protocol (SPI) . . . . . . . . . . 3–33, 1–100
Real Intel. Threat Analytics (RITA) . . . . .1–100, 3–175 Shadow IT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–147
Realtek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–40 Shadow Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–87
Red Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–70 Shamoon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137, 3–144
ReflectivePick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–147 Shavlik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–45
Registry Manipulations . . . . . . . . . . . . . . . . . . . . . . . . . 3–140 ShellCode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–119
Prevention and detection . . . . . . . . . . . . . . . . . . .3–142 Shellter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–5
regsvr32.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–111 Shodan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–154
Rekall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–147 SID → Security Identified . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137 Siemens Step 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–33
Responder . . . . . . . . . . . . . . . . . . . . . . . . .2–37, W–68, 4–138 Sigma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–133
ResponderGuard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–138 Kerberos RC4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–120
Return Oriented Programming (ROP) . . . . . . . . . . . 3–84 Over-pass-the-hash . . . . . . . . . . . . . . . . . . . . . . . . .4–119

Silver Ticket → Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–42

Single Sign-On . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–40 Persistence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–40
Skeleton Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–319 Privilege Escalation . . . . . . . . . . . . . . . . . . . . . . . . . 1–28
Sleuth Kit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–146 Subscription (Eventlog) . . . . . . . . . . . . . . . . . . . . . . . . .1–123
Sliding Scale of CyberSecurity . . . . . . . . . . . . . . . . . . 5–109 Suricata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–97
SMB Ruleset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–98
Exploit (ShadowBroker) . . . . . . . . . . . . . . . . . . . . .1–31 SWIFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–21-24
GPO for SMB Signing . . . . . . . . . . . . . . . . . . . . . W–76 Alliance software . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26
Outbound . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–40 Customer Security Program . . . . . . . . . . . . . . . . . 1–30
Relaying . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–34, 2–42 SwiftOnSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–129
Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–44 SysMon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–124, 2–153
Responder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–43 Configuration . . . . . . . . . . . . . . . . . . . . . . 1–128, W–131
Signing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–71 Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–125
Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–44 GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–132
Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–121 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–126
Snake → Turla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Malicious use . . . . . . . . . . . . . . . . . . . . . . . . . 1–21, 1–25
Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–96 Mapping to ATT&CK . . . . . . . . . . . . . . . . . . . . . 1–130
Software Development Lifecyle (SDL) . . . . . . . . . . . 3–3-4 SysMonSearch (Visualization) . . . . . . . . . . . . . . 1–131
Agile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–16
Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–9
Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–10
Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–5 T
Phases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–6
Release . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–12 TAHITI Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . 5–112
Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–8 Task Scheduler . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–38, 3–137
Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–13 Prevention and detection . . . . . . . . . . . . . . . . . . .3–138
Selling the process . . . . . . . . . . . . . . . . . . . . . . . . . . 3–14 TFTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–35
Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–7 The Hive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–151
Verification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–10 Threat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–67
Software Restriction Policies (SRP) . . . . . . . . 2–90, 2–97 Threat Hunting
Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–97 Automation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–114
Source code review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–31 Hypothesis Definition . . . . . . . . . . . . . . . . . . . . . . 5–113
Spear-phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–45 Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–115
SPF → Sender Policy Framework . . . . . . . . . . . . . . . . . . . . Maturity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–108
SpiderFoot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–57, 1–152 Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–112
Splunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–115, 1–123 Success Factors . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–111
SRP → Software Restriction Policies . . . . . . . . . . . . . . . . . Visualization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–117
SSL/TLS vs. Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–107
Fingerprinting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–176 Threat Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–24
Interception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–92 Threat Intelligence . . . . . . . . . . . . . . . . . . . . . . . . 5–68, 5–97
SSO → Single Sign-On . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Feeds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–78
Stack Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–69
Allocation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–73 Operationalization . . . . . . . . . . . . . . . . . . . . . . . . . . 5–88
Canary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–86 Where to find? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–78
Mitigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–77 Threat Modeling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–18
Overflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–75-76 Tool (Microsoft) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–20
Shield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–87 ThreatCrowd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–80
Stager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–210 TLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–84
StarFighter Empire Launcher . . . . . . . . . . . . . . . . . . . 2–110 TLS → SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Steganography . . . . . . . . . . . . . . . . . . . . . . . 1–51, 1–55, 1–94 Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–76
STIG (Security Technical Implem. Guide) . . . . . . 1–107 TRIKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–19
STL (Statement List) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–42 Trust Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–125
STRIDE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–4, 3–19, 3–26 Macro Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–127
Strider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137 Protected View . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–130
Structured Exception Handling Trusted items . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–126
Overwrite Protection (SEHOP) . . . . . . . . . . 3–70, 3–83 TTPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–65, 5–77
Stuxnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–149 TurboDiff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–65
Infection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–37 Turla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–50
Two factor authentication . . . . . . . . . . . . . . . . . . . . . . . 4–18

U wevtutil.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–119
Windows Access Token . . . . . . . . . . . . . . . . . 4–16-17, 4–56
UAC → User Account Control . . . . . . . . . . . . . . . . . . . . . . . Windows Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–73
UAF → Use After Free . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows as a Service (WaaS) . . . . . . . . . . . . . . . . . . . 3–47
Unicode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Branches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–48
URL Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–64 Windows Defender Application Control (WDAC) 2–90
urlquery.net . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–64 Windows Defender Device Guard . . . . . . . . . . . . . . . . 2–91
urlscan.io . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–64 Windows Event Collector Service . . . . . . . . . . . . . . . 1–123
Urobuos→ Turla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows Management Instrumentation (WMI) . 3–149
USB Weaponized . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–5, 2–15 Event Consumers . . . . . . . . . . . . . . . . . . . . . . . . . . 3–150
BadUSB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–19 Event Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–150
Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–21 FilterToConsumer Binding . . . . . . . . . . . . . . . . . 3–150
Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–20 Prevention and detection . . . . . . . . . . . . . . . . . . .3–152
USBGuard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–21 Windows Remote Management (WinRM) 1–123, 3–149
USBHarpoon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–18 Windows Script Host (WSH) . . . . . . . . . . . . . . . . . . . 2–104
USBKill . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–21 Disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–120
Use After Free (UAF) . . . . . . . . . . . . . . . . . 3–11, 3–99-100 Hardening . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–111
User Account Control (UAC) . . . . . . . . . . . . . . . . . . . . 4–34 Windows Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–143
Bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–40 Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–103
GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–36-39 Prevention and detection . . . . . . . . . . . . . . . . . . .3–145
Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–34 Privilege Escalation to System . . . . . . . . . . . . . . 4–56
Windows SKU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–91
Winlogbeat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–123
V WMI → Windows Management Instrumentation . . . . .
VBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–115 Worm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–37
Declare statement . . . . . . . . . . . . . . . . . . . . . . . . . .2–116 WPAD → Web Proxy Auto-Discovery . . . . . . . . . . . . . . . .
Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–124 WSH → Windows Script Host . . . . . . . . . . . . . . . . . . . . . . . .
Downloader and Dropper . . . . . . . . . . . . . . . . . . 2–117 WSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–135
ShellCode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–119 WSUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–46
VBE → VBScript Encoding . . . . . . . . . . . . . . . . . . . . . . . . . .
VBR → Volume Boot Record . . . . . . . . . . . . . . . . . . . . . . . .
VBS → Virtualization Based Security . . . . . . . . . . . . . . . . X
VBScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–103
Downloader . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–106 XD Bit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–79
Encoding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–108
Obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–107
VeraCode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–32
Y
Vericode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–10
Yara . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–76
Virtualization Based Security (VBS) . . . . . . . . . . . . . 4–74
Modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–82
VirusTotal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–157
Repository . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–84
Visual Basic → VBScript . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Rule generator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–154
VisualCodeGrepper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–32
Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–78-81
Volatility . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–141-145
Use . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–83
Volume Boot Record (VBR) . . . . . . . . . . . . . . . . . . . . 3–153
YaraGenerator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–155
Vulnerability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–67
yarGen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–155
Vulnerability Assessment . . . . . . . . . . . . . . . . . . . . . . . . 3–28

W Z
WaaS → Windows as a Service . . . . . . . . . . . . . . . . . . . . . . . Zeek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–100
Watering hole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–5 Supported protocols . . . . . . . . . . . . . . . . . . . . . . . 1–100
Web Proxy Auto-Discovery (WPAD) . . . . . . . . . . . . 2–39 Zero Width Jointer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–54
Web Shells . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–134-135 Zero-Day . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–36
Prevention and detection . . . . . . . . . . . . . . . . . . .3–136 ZScaler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–91

Maze - Runner#0964: If You Want To Buy The Reports For Cheap Price DM Me On Discord
No ratings yet
Maze - Runner#0964: If You Want To Buy The Reports For Cheap Price DM Me On Discord
33 pages
Maze - Runner#0964: If You Want To Buy The Reports For Cheap Price DM Me On Discord
No ratings yet
Maze - Runner#0964: If You Want To Buy The Reports For Cheap Price DM Me On Discord
33 pages
D OSWP-Report
0% (2)
D OSWP-Report
18 pages
Index 508
No ratings yet
Index 508
8 pages
Windows 10 System Programming, Part 2 (Pavel Yosifovich)
100% (3)
Windows 10 System Programming, Part 2 (Pavel Yosifovich)
229 pages
IOS Penetration Testing
100% (1)
IOS Penetration Testing
147 pages
Assessment of Buffer Overflow Based Attacks On An IoT OS
No ratings yet
Assessment of Buffer Overflow Based Attacks On An IoT OS
6 pages
Definitive Guide To IOS Security 2017
100% (1)
Definitive Guide To IOS Security 2017
147 pages
IOS9 Pegasus IOS Kernel Exploit
No ratings yet
IOS9 Pegasus IOS Kernel Exploit
44 pages
CS Interview Questions: "Real Companies, Real Questions"
No ratings yet
CS Interview Questions: "Real Companies, Real Questions"
100 pages
Defeating Samsung KNOX With Zero Privilege: Di Shen (@returnsme)
No ratings yet
Defeating Samsung KNOX With Zero Privilege: Di Shen (@returnsme)
14 pages
Index 610
No ratings yet
Index 610
7 pages
Index 504
No ratings yet
Index 504
11 pages
Index 578
No ratings yet
Index 578
6 pages
Petegannettccmmlab1 2012
No ratings yet
Petegannettccmmlab1 2012
35 pages
Gray Hat Hacking the Ethical Hacker's
From Everand
Gray Hat Hacking the Ethical Hacker's
Çağatay Şanlı
5/5 (1)
Core
No ratings yet
Core
574 pages
IMAGINE Interface
100% (1)
IMAGINE Interface
170 pages
A Guide To Windows Power Tools
100% (1)
A Guide To Windows Power Tools
76 pages
Cli Crash Course
No ratings yet
Cli Crash Course
86 pages
Digital Forensic & Incident Response
No ratings yet
Digital Forensic & Incident Response
60 pages
Linux Fun Training Be 2019
No ratings yet
Linux Fun Training Be 2019
707 pages
TLDR Book
No ratings yet
TLDR Book
274 pages
Computing Command Line Linux
100% (2)
Computing Command Line Linux
203 pages
XPEDITOR Quick Reference
No ratings yet
XPEDITOR Quick Reference
48 pages
Ws2000 Cli Guide
No ratings yet
Ws2000 Cli Guide
462 pages
ManualTheosCorona PDF
No ratings yet
ManualTheosCorona PDF
784 pages
Operation Grand Mars
100% (1)
Operation Grand Mars
45 pages
AIX - From New User To Technical Expert
No ratings yet
AIX - From New User To Technical Expert
372 pages
AIX - From New User To Technical Expert
No ratings yet
AIX - From New User To Technical Expert
372 pages
Superbasic Manual
No ratings yet
Superbasic Manual
1,010 pages
10G6 Quick View With Full Toc
No ratings yet
10G6 Quick View With Full Toc
21 pages
gray-hat-hacking-19
No ratings yet
gray-hat-hacking-19
1 page
2013 Autolisp Reference Guide
No ratings yet
2013 Autolisp Reference Guide
298 pages
windows
No ratings yet
windows
25 pages
PAN-OS 3.0 CLI Reference Guide
100% (1)
PAN-OS 3.0 CLI Reference Guide
262 pages
MASMReference
No ratings yet
MASMReference
210 pages
The Story of Microsoft PDF
0% (1)
The Story of Microsoft PDF
160 pages
BMC Discovery 11.3: Getting Started
No ratings yet
BMC Discovery 11.3: Getting Started
37 pages
BMC Discovery 11.3: Getting Started
No ratings yet
BMC Discovery 11.3: Getting Started
37 pages
GettingStarted 11.3.0.4
No ratings yet
GettingStarted 11.3.0.4
37 pages
BMC Discovery 11.3: Getting Started
No ratings yet
BMC Discovery 11.3: Getting Started
37 pages
Fortigate Utm 40 mr3
No ratings yet
Fortigate Utm 40 mr3
313 pages
Utm Guide: Fortios™ Handbook V3 For Fortios 4.0 Mr3
No ratings yet
Utm Guide: Fortios™ Handbook V3 For Fortios 4.0 Mr3
313 pages
Python Everyday
No ratings yet
Python Everyday
99 pages
gray-hat-hacking-17
No ratings yet
gray-hat-hacking-17
1 page
Embedded Systems Firmware Demystified
No ratings yet
Embedded Systems Firmware Demystified
70 pages
AP8853
No ratings yet
AP8853
118 pages
Ten Steps To Linux Survival
No ratings yet
Ten Steps To Linux Survival
189 pages
Cisco Series300 Manual
No ratings yet
Cisco Series300 Manual
704 pages
Index 401
No ratings yet
Index 401
17 pages
Autolisp Functions 2012
No ratings yet
Autolisp Functions 2012
300 pages
Acdmac 2012 Autolisp Reference Guide
No ratings yet
Acdmac 2012 Autolisp Reference Guide
300 pages
Big-Ip Advanced Routing™: Integrated Management Interface Command Line Interface Reference Guide
No ratings yet
Big-Ip Advanced Routing™: Integrated Management Interface Command Line Interface Reference Guide
162 pages
Hacking Java Script Short
No ratings yet
Hacking Java Script Short
67 pages
AA PDU1A-TC RT-11 IND Control Files Manual Aug91
No ratings yet
AA PDU1A-TC RT-11 IND Control Files Manual Aug91
178 pages
Computers For Beginners PDF
No ratings yet
Computers For Beginners PDF
119 pages
Computers For Beginners
No ratings yet
Computers For Beginners
119 pages
Intro TCL
No ratings yet
Intro TCL
39 pages
A Discourse Analysis of 1 Peter
From Everand
A Discourse Analysis of 1 Peter
Ervin Ray Starwalt
No ratings yet
Tigers in the Mud: The Combat Career of German Panzer Commander Otto Carius
From Everand
Tigers in the Mud: The Combat Career of German Panzer Commander Otto Carius
Otto Carius
4/5 (64)
Fly Fishing Guide to the Battenkill: Complete Guide to Locations, Hatches, and History
From Everand
Fly Fishing Guide to the Battenkill: Complete Guide to Locations, Hatches, and History
Doug Lyons
No ratings yet
The Future Is Ours: The Collected Science Fiction of Edward D. Hoch
From Everand
The Future Is Ours: The Collected Science Fiction of Edward D. Hoch
Edward D. Hoch
No ratings yet
Securing ChatGPT: Best Practices for Protecting Sensitive Data in AI Language Models
From Everand
Securing ChatGPT: Best Practices for Protecting Sensitive Data in AI Language Models
Matthew C. Smith
No ratings yet
Knit Soxx for Everyone: 25 Colorful Sock Patterns for the Whole Family
From Everand
Knit Soxx for Everyone: 25 Colorful Sock Patterns for the Whole Family
Kerstin Balke
4.5/5 (2)
BlockChain for Beginners
From Everand
BlockChain for Beginners
Matthew Smith
No ratings yet
The Sandy Steele Mystery MEGAPACK®: 6 Young Adult Novels (Complete Series)
From Everand
The Sandy Steele Mystery MEGAPACK®: 6 Young Adult Novels (Complete Series)
Roger Barlow
No ratings yet
The Essential Robert Frost: Collected Poems 1913-1923 (Warbler Classics Annotated Edition)
From Everand
The Essential Robert Frost: Collected Poems 1913-1923 (Warbler Classics Annotated Edition)
Robert Frost
No ratings yet
Thy Kingdom Come
From Everand
Thy Kingdom Come
Apostle Rhetta Jackson-Fair
No ratings yet
Index 572
No ratings yet
Index 572
3 pages
Mega Downloads
No ratings yet
Mega Downloads
2 pages
EnglishArabicVocabularyfortheUseofOfficialsintheAngloEgyptianSudan 10852144
No ratings yet
EnglishArabicVocabularyfortheUseofOfficialsintheAngloEgyptianSudan 10852144
473 pages
Pentestfor AD
No ratings yet
Pentestfor AD
48 pages
It GC Explained
No ratings yet
It GC Explained
14 pages
Lista de Partes Tecnologicas
No ratings yet
Lista de Partes Tecnologicas
155 pages
Art of Anti Detection
100% (2)
Art of Anti Detection
41 pages
Linux Heap Internals
No ratings yet
Linux Heap Internals
80 pages
Design and Implementation of Token Stealing Kernel Shellcode For Windows 8
No ratings yet
Design and Implementation of Token Stealing Kernel Shellcode For Windows 8
12 pages
Kernel - How Can I Temporarily Disable ASLR (Address Space Layout Randomization) - Ask Ubuntu
No ratings yet
Kernel - How Can I Temporarily Disable ASLR (Address Space Layout Randomization) - Ask Ubuntu
4 pages
D1T2 - Mark Dowd &amp Tarjei Mandt - iOS6 Security
No ratings yet
D1T2 - Mark Dowd &amp Tarjei Mandt - iOS6 Security
71 pages
Return to libc
No ratings yet
Return to libc
9 pages
Hacking and Securing iOS Applications
No ratings yet
Hacking and Securing iOS Applications
46 pages
Application Attack Research Unit (AARU) On Windows 7 (By Amit Aggarwal)
No ratings yet
Application Attack Research Unit (AARU) On Windows 7 (By Amit Aggarwal)
103 pages
2015.eu 15 Todesco Attacking The XNU Kernel in El Capitain
No ratings yet
2015.eu 15 Todesco Attacking The XNU Kernel in El Capitain
72 pages
שיטות ואמצעי אבטחה במ מ ורשתות תקשורת - מצגת קורס - 15062962
No ratings yet
שיטות ואמצעי אבטחה במ מ ורשתות תקשורת - מצגת קורס - 15062962
177 pages
EMET 5.52 User Guide
No ratings yet
EMET 5.52 User Guide
40 pages
Xprint - Vpxprint
No ratings yet
Xprint - Vpxprint
330 pages
The Art of Exploiting UAF by Ret2bpf in Android Kernel
No ratings yet
The Art of Exploiting UAF by Ret2bpf in Android Kernel
23 pages
Meltdown
No ratings yet
Meltdown
16 pages
Best of Hacking - 2010
No ratings yet
Best of Hacking - 2010
218 pages
Programming and CS Terms by Jamshed
No ratings yet
Programming and CS Terms by Jamshed
80 pages
Bypassing Stack Cookies, SafeSeh, HW DEP and ASLR
No ratings yet
Bypassing Stack Cookies, SafeSeh, HW DEP and ASLR
79 pages
UAF by Ret2bpf
No ratings yet
UAF by Ret2bpf
52 pages
AppCtrl BestPractices Guide
No ratings yet
AppCtrl BestPractices Guide
78 pages
Whitepaper On ASLR DEP Bypass Secfence Technologies
No ratings yet
Whitepaper On ASLR DEP Bypass Secfence Technologies
19 pages
ESET Windows Exploit
No ratings yet
ESET Windows Exploit
26 pages
Windows User Mode Exploit Development: Offensive Security
No ratings yet
Windows User Mode Exploit Development: Offensive Security
9 pages
10 Years of Linux Security
No ratings yet
10 Years of Linux Security
38 pages