Index 599

Uploaded by

Stephen Anderson

We take content rights seriously. If you suspect this is your content, claim it here.

Available Formats

Download as PDF, TXT or read online on Scribd

0% found this document useful (0 votes)

64 views10 pages

Index 599

Uploaded by

Stephen Anderson

We take content rights seriously. If you suspect this is your content, claim it here.

Available Formats

Download as PDF, TXT or read online on Scribd

You are on page 1/ 10

SEC599 – Defeating Advanced Adversaries

Topics XCHG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109

XOR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26
Ransomware ESP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109
(Not)Petya . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 RSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109
Cerber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 ZF (Zero Flag) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26
Crysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–31
Goldeneye . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 Microsoft Security Bulletin
HDDCryptor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 MS10-046 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–37
Jigsaw . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 MS10-061 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–37, 3–151
LeChiffre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 MS10-073 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–38
Locky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 MS10-092 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–38
Petya . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 MS14-025 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–49
Popcorn Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–31 MS17-010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–46
Sage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109
Wcry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 Windows API
CreateThreat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–119
Malware RtlMoveMemory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–119
Agent.BTZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–50 ShellExecute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–117
Angler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6, 2–58 URLDownloadFile . . . . . . . . . . . . . . . . . . . . . . . . . . 2–117
BlackEnergy . . . . . . . . . . . . . . . . . . . . . . 1–44-45, 2–120 VirtualAlloc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–119
Carbanak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–19
Carberp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–19 PowerShell
Citadel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–17 Get-ChildItem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–36
Dridex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–17, 1–21 Get-ExecutionPolicy . . . . . . . . . . . . . . . . . . . . . 2–135
EternalBlue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–47 Invoke-Command . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–36
EternalRomance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–47 Invoke-Expression . . . . . . . . . . . . . . . . . . . . . . . 2–135
KillDisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–45 Start-Transcript . . . . . . . . . . . . . . . . . . . . . . . . 2–155
liboradb.dll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26 Test-Connection . . . . . . . . . . . . . . . . . . . . . . . . . . 2–133
NotPetya . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–46-47 Write-Host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–134
Rig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6, 2–58
s7otbxdx.dll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–42 EventId
Shamoon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137 106 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–139
SpyEye . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–17 140 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–139
Stuxnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–34-43 141 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–139
Sundown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–58 4104 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–159
Terror . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–58 4624 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–107, W–314
Turla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–50 4634 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–107
Zbot → Zeus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4648 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–114
Zeus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–18 4657 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–142
ZitMo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–18 4672 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–107
4688 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–117, 2–152
MetaSploit 4689 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–117
exploit/ 4697 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–145
multi/handler . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–8 4728 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–22
post/windows/gather/ 4768 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–24
enum ad computers . . . . . . . . . . . . . . . . . . . . . .W–19 4769 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–105
enum applications . . . . . . . . . . . . . . . . . . . . . . . W–19 5137 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–27
enum files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–19 5140 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–40
post/windows/local/ 5141 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–27
persistnce/ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–141
registry persistence . . . . . . . . . . . . . . . . . . . . . . 3–141

Assembly
JNZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26
NOP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26
POP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109
PUSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109
RET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109
TEST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 1
SEC599 – Defeating Advanced Adversaries

# Category . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–93
Configuration . . . . . . . . . . . . . . . . . . . . . . . 2–93, W–101
1-Day Exploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–50 Event logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–96
802.1AE-2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–32 GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–104
802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24, 2–27, 2–33 Rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–94-95
802.1X-2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–32 Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–92
%TEMP% . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–123 AppVerifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–31
%SYSVOL% . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–50 APT Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–56
APT Simulator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–82
APT28 . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–140, 3–146, 3–154
A APT29 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–149, 3–169
APT30 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–140
Active Defense Harbinger Distribution (ADHD) 4–125 Artillery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–131
Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–6 ASLR → Address Space Layout Randomization . . . . . .
Admin Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–14 ASR → Attack Surface Reduction . . . . . . . . . . . . . . . . . . . .
Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–9 Assembly, example (liboradb.dll) . . . . . . . . . . . . . . . . .1–26
Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–7 AssemblyLine . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–150
Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–7 Atomic Red Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–84
Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–4 Attack Surface Reduction (ASR) . . . . . . . . . . . . . . . 3–110
Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–13 AutoPlay . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–16
Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–7 Autopsy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–146
Persistence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–3 AutoRun . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–16
Backup files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–3 Autoruns . . . . . . . . . . . . . . . . . . . . . . . . . . 3–158-160, W–196
Golden Ticket . . . . . . . . . . . . . . . . . . . . 5–9-11, 5–24 Awareness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–7-9
Impersonation . . . . . . . . . . . . . . . . . . . . . . 5–18, 5–27
New user . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–7, 5–22
Replication . . . . . . . . . . . . . . . . . . . . . . . . . 5–16, 5–26 B
Skeleton Key . . . . . . . . . . . . . . . . . . . . . . . 5–14, 5–23
Tiered Admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–30 Bangladesh Heist . . . . . . . . . . . . . . . . . . . . . . . . . . 1–17, 1–21
Trust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–20 Fraud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–29
Users and groups . . . . . . . . . . . . . . . . . . . . . . 4–14, 4–27 Intrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–25
Local users and groups . . . . . . . . . . . . . . . . . . . .4–32 Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26-28
ActiveX . . . . . . . . . . . . 2–104, 2–106, 2–109, 2–111, 2–125 Takeaways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–30
Address Space Layout Random. (ASLR) . . . 3–70, 3–78 Banking Trojan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–18
Bottom-Up ASLR (BASLR) . . . . . . . . . . . . . . . 3–101 Base64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–118
Mandatory ASLR (MASLR) . . . . . . . . . . . . . . . 3–101 Basic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–103
AddressOfFunction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–100 BASLR → Bottom-Up ASLR . . . . . . . . . . . . . . . . . . . . . . . .
ADHD → Active Defense Harbinger Distribution . . . . . Beaconing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–177
Admin Approval Mode . . . . . . . . . . . . . . . . . . . . . . . 4–36-37 beRoot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–243
ADMX Template . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–109 BeRoot.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–51
ADS → Alternate Data Stream . . . . . . . . . . . . . . . . . . . . . . Binary Scrambling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–126
Adversary Emulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–65 BinDiff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–65
AFL → American Fuzzy Loop . . . . . . . . . . . . . . . . . . . . . . . . BlackEnergy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–44-45
AIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–151 BloodHound . . . . . . . . . . . . . . . . . . . . . . . . . 4–85-87, W–271
Alert Fatigue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–103 Deception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–137
AlienVault OTX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–79 Prevention and detection . . . . . . . . . . . . . . . . . . . . 4–88
Alternate Data Stream (ADS) . . . . . . . . . . . . . . . . . . 2–131 Blue Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–70
American Fuzzy Loop (AFL) . . . . . . . . . . . . . . . . . . . . 3–40 Bootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–153, 3–155
AMSI → Antimalware Scanning Interface . . . . . . . . . . . . Box . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–50
Anonymous . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–57 Bro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–61, 1–96
Ansible . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–111 Bromium vSentry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–125
Antimalware Scanning Interface (AMSI) . . . . . . . . 2–144 Bug Bounty . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–29
Anunak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–19 BYOD → Bring-your-own-device . . . . . . . . . . . . . . . . 2–27
Apache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–135
AppArmor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–90
Application Blacklisting . . . . . . . . . . . . . . . . . . . 2–89, 2–99 C
Application Whitelisting . . . . . . . . . . . . . . . . . . 2–89, 3–138
AppLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–90, W–101 C99 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–135
Bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–111 Cabinet File Content . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–56

Caldera . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–85 Cached credentials . . . . . . . . . . . . . . . . . . . . . . . . . . 4–58

Canary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–127, 4–134 Finding where . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–85
BloodHound . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–137 LSASS Memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–59
Domain Administrator . . . . . . . . . . . . . . . . . . . . . 4–137 Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–68
Fake Administrative Accounts . . . . . . . . . . . . . .4–135 Credentials leaks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–145
Fake documents . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–139 Crypto-mining . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–32
Honeyhash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–136 CScript → Windows Script Host (WSH) . . . . . . . . . . . . .
Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–140 Cuckoo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–67
Canarytoken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–140-144 Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–68
Capability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–67 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–72
Carbanak . . . . . . . . . . . . . . . . . . . . . . . . . . .1–17, 1–19, 3–143 Reporting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–69
CCleaner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–46 Signature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–71
Censys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–157 CVSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–19
CERT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–122 Cybercrime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–15, 1–17
Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–45
CertStream . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–157
CFG → Control Flow Guard . . . . . . . . . . . . . . . . . . . . . . . . . D
CFI → Control Flow Integrity . . . . . . . . . . . . . . . . . . . . . . . .
China Chopper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–134 DarunGrim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–65
CIRCLean . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–22 Data Execution Prevention (DEP) . . . . . . . . . 3–70, 3–79
CIRT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–122-123 Data Exfiltration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–31
CIS Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–88 Behavior-Based Detection . . . . . . . . . . . . . . . . 5–58-61
Cisco Umbrella . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–91 Bro Exfil Detection . . . . . . . . . . . . . . . . . . . . . . . . . 5–61
Client Isolation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–101 Collect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–33, 5–48
Cloudflare . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–93 Exfiltrate . . . . . . . . . . . . . . . . . . . . . . . 5–33, 5–49, 5–63
Cobalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–141 Exfiltrate prevention . . . . . . . . . . . . . . . . . . . . . . . . 5–56
Code analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–31 Network protocols . . . . . . . . . . . . . . . . . . . . . . . . . . .5–53
Dynamic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–11 Online Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–50-51
Static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–10, 3–32 Print . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–62
Code Coverage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–40 Search . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–32, 5–34
CodeSearchDiggity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–32 Search detection and prevention . . . . . . . . . . . . . 5–40
COM Object Hijacking . . . . . . . . . . . . . . . . . . . . . . . . . . 1–52 Signature-Based Detection . . . . . . . . . . . . . . . . . . 5–57
ATT&CK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–79 Tools for searching . . . . . . . . . . . . . . . . . . . . . . . 5–36-38
COM Search Order . . . . . . . . . . . . . . . . . . . . . . . . . 1–52 Yara . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–39
Phantom COM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–52 Data Exflitration Framework . . . . . . . . . . . . . . . . . . . 1–100
Command & Control . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–165 Data Loss Prevention (DLP) . . . . . . . . . . . . . . . . . . . . .5–56
Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–172 Data Offline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–43-45
Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–171 DCOM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–149
Command-Line Logging . . . . . . . . . . . . . . . . . . . . . . . . 2–152 DCShadow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–18-20, 5–27
Common Information Model (CIM) . . . . . . . . . . . . . 3–149 DCSync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–16, 5–26
Compound File Binary Format → OLE . . . . . . . . . . . . . . Deception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–126, 4–146
Control Flow Guard (CFG) . . . . . . . . . . . . . . . . 3–70, 3–84 Decoy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–126, 4–146
Control Flow Integrity (CFI) . . . . . . . . . . . . . . . . . . . . 3–87 File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–47
Control Panel Item . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–19 Deep Panda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–134
CopyKittens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137 Demiguise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–112
CoreImpact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–50 Denial of service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–15
Cortex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–152 DEP → Data Execution Prevention . . . . . . . . . . . . . . . . . .
Cowrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–132 Detecting Attacks
CPM→ Control Panel Item . . . . . . . . . . . . . . . . . . . . . . . . . . Complexity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–104
CRC32 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–38 Real-Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–101
Credential Guard . . . . . . . . . . . . . . . . . . . . 4–59, 4–66, 4–74 Statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–105
Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–74 vs. Hunting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–107
Remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–80 Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–115
vs. Keylogger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–79 Device driver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–40
vs. Pass-the-hash . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–78 Device Guard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–60
Credential Theft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–55 DIAMETER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24
Access Token . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–56 Diaphora . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–65
BloodHound . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–85 DigiNotar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–46
Directory Replication Service Remote (DRSR) . . . 5–17

DKIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6 EVE JSON . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–99

DKIM → Domain Keys Identified Mail . . . . . . . . . . . . . . . Event log
DLL AutoRun . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–160
liboradb.dll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26 EventID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–113, 1–120
LNK loading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–37 Mapping to ATT&CK . . . . . . . . . . . . . . . . . . . . . 1–122
Patching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26 EventLog . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–113, 1–119-121
payloadrestrictions.dll . . . . . . . . . . . . . . . . . . . . W–184 Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–123
scobj.dll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–99 What to collect? . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–132
Search Order Hijacking . . . . . . . . . . . . . . . . 3–146-148 eventvwr.msc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–119
DLP → Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . . EVT(X) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–119
DMARC → Domain-Based Message Authentication, eXecute Disable (XD) . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–79
Reporting and Conformance . . . . . . . . . . . . . . . . Exploit Kit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–58
DNS Behavior . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–60
Exfiltration . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–53, 5–60 Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–60
Securing Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–93 Exploit Mitigation Controls . . . . . . . . . . . . . . . . . . . . . . 3–70
Traffic pattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–98 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–88
Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–74 ExploitGuard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–92
Domain anomaly detection . . . . . . . . . . . . . . . . . . . . . 3–174 Arbitrary Code Guard . . . . . . . . . . . . . . . . . . . . . 3–106
Domain Fronting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–167 Block Low Integrity Images . . . . . . . . . . . . . . . . 3–117
Prevention and detection . . . . . . . . . . . . . . . . . . .3–168 Block Remote Image . . . . . . . . . . . . . . . . . . . . . . . 3–104
Domain Keys Identified Mail (DKIM) . . . . . . . . . . . .2–52 Block Untrusted Fonts . . . . . . . . . . . . . . . . . . . . . 3–111
Domain-Based Message Authentication, Reporting and Bypasses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–119
Conformance (DMARC) . . . . . . . . . . . 2–6, 2–54 Code Integrity Guard . . . . . . . . . . . . . . . . . . . . . . 3–110
DownDelph . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–146, 3–154 Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–96-97
DREAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–19, 3–27 Core Isolation and Memory Integrity . . . . . . . 3–118
DropBox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–50, 3–170 Disable Extension Points . . . . . . . . . . . . . . . . . . . 3–113
DropSmack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–170 Disable Win2k System Calls . . . . . . . . . . . . . . . 3–114
DRSR → Directory Replication Service Remote . . . . . . Do not Allow Child Processes . . . . . . . . . . . . . . 3–115
DuckHunt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–18 Export Address Table Filtering . . . . . . . . . . . . 3–100
Duqu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–111 GUI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–95
Dynamic Base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–70, 3–78 Import Address Filtering (IAF) . . . . . . . . . . . . 3–101
Inner working . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–94
Load Library Protection . . . . . . . . . . . . . . . . . . . 3–104
E SimExec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–108
Validate API Invocation . . . . . . . . . . . . . . . . . . . 3–107
EAF → ExploitGuard, Export Address Table Filtering Validate Handle Usage . . . . . . . . . . . . . . . . . . . . . 3–112
3–100 Validate Heap Integrity . . . . . . . . . . . . . . . . . . . . 3–105
EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24 Validate Image Dependency . . . . . . . . . . . . . . . . 3–116
EAP Over LAN (EAPoL) . . . . . . . . . . . . . . . . . . . . . . . 2–24 Validate Stack Integrity . . . . . . . . . . . . . . . 3–108, 109
EAP-IKEv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24
EAP-PSK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24
EAP-PWD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24 F
EAT → Export Address Table . . . . . . . . . . . . . . . . . . 3–100
ECMAScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–103 Fenrir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–30
EDR → Endpoint Detection & Response . . . . . . . . . . . . . File Extension
EE-Outliers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–116 Association . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–114
ElasticSearch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–116 Blocking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–98
Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–117 Double extensions . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–17
ElasticStack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–116 File upload
EMET . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–92, 2–119 Bypass protection . . . . . . . . . . . . . . . . . . . . . . . . . . 3–135
Attack Surface Reduction (ASR) . . . . . . . . . . . 3–110 FileBeat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–362
Bypasses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–119-121 FireGlass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–63
Caller Check . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–107 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–103
MemProt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–106 Flare . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–177-179
Empire . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–81, 2–139, W–207 FlashFlood . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–140
ENDBR32/ENDBR64 . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–87 Flightsim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–83
Endpoint Detection & Response . . . . . . . . . . . . . . . . 1–139 Flow data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–177
ESE → Extensible Storage Engine . . . . . . . . . . . . . . . 4–13 Footprint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–143
Espionage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–15, 1–49 Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–148

Technical . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–146 Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–113

Form grabbing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–18 HTTP Service Name Indication (SNI) . . . . . . . . . . 3–168
Fortify . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–10, 3–32 Hunting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–118
freq.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–174
Full Packet Capture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–95
Fuzzing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–11, 3–33
I
Intelligent Mutation . . . . . . . . . . . . . . . . . . . . . . . . . 3–39 IAF → Import Address Filtering . . . . . . . . . . . . . . . . . . . . .
Mutation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–38 IAT → Import Address Table . . . . . . . . . . . . . . . . . . . . . . . .
Randomized . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–37 ICMP Exfiltration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–53
Static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–36 Identity Theft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–56
FxCop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–31 IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–96
Host-based . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–103
Impact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–67
G Impersonation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–17
Import Address Table (IAT) . . . . . . . . . . . . . . . . . . . . 3–101
GateKeeper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–90 Incident Response . . . . . . . . . . . . . . . . . . . . . . . 5–121, 5–137
GDR → General Distribution Release . . . . . . . . .3–53-54 Containment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–133
Global Offset Table (GOT) . . . . . . . . . . . . . . . . . . . . . 3–101 Eradication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–134
Golden Ticket → Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–132
Google Chrome . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–110 Lessons Learned . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–136
Google Drive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–50 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–124
Google Search Operators . . . . . . . . . . . . . . . . . . . . . . . 1–149 OODA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–126
GoPhish . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10 Playbooks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–130
GOT → Global Offset Table . . . . . . . . . . . . . . . . . . . . . . . . . Preparation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–127-129
GPO Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–125
AppLocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–104 Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–135
Group Policy Management . . . . . . . . . . . . . . . . . W–28 Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–154
SMB Signing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–76 Incognito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–56-57
SysMon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–132 Indirect Branch Tracking . . . . . . . . . . . . . . . . . . . . . . . . 3–87
User Account Control (UAC) . . . . . . . . . . . . 4–36-39 Instagram . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–54
Grok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–118 Installutil.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–99
GroundBait . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–146 Intent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–67
Group Managed Service Accounts . . . . . . . . . . . . . . 4–107 IOC scanner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–89
Group Policy Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–6 IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–73
Group Policy Preference . . . . . . . . . . . . . . . . . . . . . . 4–49-50 IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–96
GRR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–147-150 IRMA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–152
Ivanti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–45

H J
Hammertoss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–169 JA3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–176, W–220
Hardening . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–104 JavaScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–103
Browser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–109 Javelin AD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–140, 4–145
Checklists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–105 JEA → Just Enough Admin . . . . . . . . . . . . . . . . . . . . . . . . .
Hardware Security Module (HSM) . . . . . . . . . . . . . . . 5–45 JHUHUGIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–140
Hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–72 John . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–4
HashCat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–6, 2–41 John the Ripper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–6
Heap Spray Protection . . . . . . . . . . . . . . . . . . . . . . . . . . .3–99 JScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–103
HoneyBadger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–130 Downloader . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–109
Honeyhash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–136 Dropper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–110
Honeypot . . . . . . . . . . . . . . . . . . . . . . . . . . .4–127, 128, 4–133 Just Enough Admin (JEA) . . . . . . . . . . . . . . . . . . . 4–28-29
Artillery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–131
Cowrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–132
HoneyBadger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–130
K
Kippo Fake SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–132 Kali . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–124
HSM → Hardware Security Module . . . . . . . . . . . . . . . . . . Kansa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–153
HSTS → HTTP Strict Transport Security . . . . . . 3–168 Kerberoast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–285
HTA → HTML Application . . . . . . . . . . . . . . . . . . . . . . . . . . Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–10-11
HTML Application . . . . . . . . . . . . . . . . . . . . . . 2–103, 2–112 AS-REQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–96

Attack . . . . . . . . . . . . . . . . . . . . . . . 4–101, 4–106, 4–108 Output . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–93

Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–92 Scoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–90
Encryption types . . . . . . . . . . . . . . . . . . . . . . . . .4–94-95 Lookaside Lists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–105
Fallback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–36 Lookyloo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–65
Golden Ticket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–9-11 Low Fragmentation Heap (LFH) . . . . . . . . . . . . . . . . 3–105
Mimikatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–12 LSASS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–17, 4–56
Kerberoasting . . . . . . . . . . . . . . . . . . . . . . . . . 4–101-102 Process tree . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–143-144
Kerberoasting (Defense) . . . . . . . . . . . . . . . . . . . 4–105 Protected Process . . . . . . . . . . . . . . . . . . . . . . . . .W–262
Kerberoasting (Tools) . . . . . . . . . . . . . . . . . . . . . . 4–104 Lumension . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–49
Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–100
Over-pass-the-hash . . . . . . . . . . . . . . . . . . . . . . . . .4–108
PAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–97 M
PAC Validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–99
Pre-authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 4–96 Macro Content . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–128
Silver Ticket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–106 Macros, blocking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–98
Silver Ticket (Defense) . . . . . . . . . . . . . . . . . . . . . 4–107 MACsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–32
Skeleton Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–14 Mail Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–57
ST (Service Ticket) . . . . . . . . . . . . . . . . . . . . . . . . . 4–98 Malware Traffic Analysis . . . . . . . . . . . . . . . . . . . . . . . . .2–60
TGT (Ticket Granting Ticket) . . . . . . . . . . . . . . 4–97 Malwarebyte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–122
Keyboard Layout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–38 Conflict with EMET . . . . . . . . . . . . . . . . . . . . . . . 3–124
Keylogging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–18 Man-in-the-browser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–18
Kibana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–42, 1–116 Mandatory Integrity Control (MIC) . . . . . . . . . . . . 3–117
Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–376 .manifest file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–148
Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–117 Mark-of-web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–131
Visualization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–372 Market Share
Kill Chain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–66 Browsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–43
Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67 Operating Systems . . . . . . . . . . . . . . . . . . . . . . . . . . 3–42
Unified . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–68 MASLR → Mandatory ASLR . . . . . . . . . . . . . . . . . . . . . . . .
KillDisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–45 MassScan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–153
Kippo Fake SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–132 Master Boot Record . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–46
klist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–25 Master Boot Record (MBR) . . . . . . . . . . . . . . 1–31, 3–153
KolideFleet . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–137, W–363 MATA → Microsoft Advanced Threat Analytics 4–122
MBAE → Malwarebyte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
MBR → Master Boot Record . . . . . . . . . . . . . . . . . . . . . . . .
L MDM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–33
MDM → Mobile Device Management . . . . . . . . . . . . . . . .
LAPS → Local Administrator Password Solution . . . . . MEDoc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–46
Lateral Movement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–3 MemGC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–70
Detection . . . . . . . . . . . . . . . 4–115, 4–118, 4–121, 122 Memory Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . 5–141-145
M$ Advanced Threat Analytics (MATA) . . . 4–122 MetaSploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–7, 1–81
Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–3 UAC Bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–40
Sigma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–118 MIC → Mandatory Integrity Control . . . . . . . . . . . 3–117
Zeek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–121 Micro-Virtualization . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–125
Lazarus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–140, 3–143 Microsoft Advanced Threat Analytics (MATA) . 4–122
lcamtuf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–40 Microsoft Intune . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–90
Least Privilege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–24-26 Mimikatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–60-63, W–228
Link-local Multicast Name Resolution (LLMNR) 2–36, Deception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–136
W–79 Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–116
Linkos Group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–46 Dump credentials . . . . . . . . . . . . . . . . . . . . . . . . . W–254
LLMNR → Link-local Multicast Name Resolution . . . . Golden Ticket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–12
LNK files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–37 Pass-the-hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–66
.local file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–148 Remove Protected Process . . . . . . . . . . . . . . . . W–265
Local Administrator Password Solution (LAPS) . .4–33 Skeleton Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–14
LogStash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–116 MISP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–81-87
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–38 MITRE ATT&CK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–78
Configuration and Parsing . . . . . . . . . . . . . . . . . 1–118 Navigator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–80
Loki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–89, W–357 Mobile Device Management (MDM) . . . . . . . 2–28, 2–90
CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–91-92 Mobile Transaction Authentication Number . . . . . . 1–18
Log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–96 msfvenom . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–5

mshta.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–112 PassiveDNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–93

mTAN→ Mobile Transaction Authentication Number Password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–19
MZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–80 Paste sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–51, 1–150
Patch
Binary Diffing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–64
N Binary Diffing (Example) . . . . . . . . . . . . . . . . 3–66-67
Uninstall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–68
NAC → Network Access Control . . . . . . . . . . . . . . . . . . . . .
Patch Reverse Engineering . . . . . . . . . . . . . . . . . . . . . . . 3–50
NBT-NS → NetBios NameServer . . . . . . . . . . . . . . . . . . . . .
PatchClear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–61
NetBios NameServer (NBT-NS) . . . . . . . . . . . . . . . . . 2–36
PatchDiff2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–65
Netflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–95
PatchExtract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–60
Network Access Control (NAC) . . . . . . . . . . . . . . . . . . 2–23
Patching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–44-45
Bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–29-31
Extraction Tool . . . . . . . . . . . . . . . . . . . . . . . 3–53, 3–55
Network Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–75
Microsoft Patch Distribution . . . . . . . . . . . . . . . . 3–49
Network Flight Simulator→ Flightsim . . . . . . . . . . . . . . . .
Microsoft Patch Extension . . . . . . . . . . . . . . . . . . 3–51
Network Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–94
Microsoft Patch Tuesday . . . . . . . . . . . . . . . . . . . . 3–46
Network Segmentation . . . . . . . . . . . . . . . . . . . . . . . . . .1–101
PatchLink . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–49
NIST Checklists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–105
Payload delivery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–3
NOSTRO/VOSTRO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–22
Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6
Not Executable (XD) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–79
Payload Execution . . . . . . . . . . . . . . . . . . . . . . . .2–88, 2–151
NotPetya
PE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–80
Attack chain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–47
PE infection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–6
NSM (Network Security Monitoring) . . . . . . . . . . . . . 1–96
Persistence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–130
ntds.dit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–4
Bootkits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–153
Extraction tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–5
Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–157
ntdsxtract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–5
Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–156
NTLMv2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–12, 2–34
Registry Manipulations . . . . . . . . . . . . . . . . . . . . 3–140
Challenge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–35
Strategies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–133
NTOWF → NTLM One-Way Function . . . . . . . . . . 4–13
Task Scheduler . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–137
NX Bit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–79
Web Shells . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–134
NXDOMAIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–93
Windows Management Instrument. (WMI) .3–149
NXLog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–123
Windows Service . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–143
nxLog
Petya/NotPetya . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–129
Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–4-5
PingCastle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–21
PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–45, 46
O PLC (Programmable Logic Controller) . . . . . . . . . . . 1–33
Obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–107, 2–138 Polymorphic Malware . . . . . . . . . . . . . . . . . . . . . . . . . . 2–127
OCTAVE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–19 Polyverse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–126
OLE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–120 PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–103, 2–133
oledump.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–120 Constrained Language Mode . . . . . . . . 3–138, 2–143
OneDrive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–50 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–114, W–127
OpenDNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–93 Encoded Command . . . . . . . . . . . . . . . . . . . . . . . . 2–137
Operation BlockBuster . . . . . . . . . . . . . . . . . . . . . . . . . 3–143 Execution Policy . . . . . . . . . . . . . . . . . . . . . . . 2–134-135
Opportunity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–67 Hardening . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–141
OSQuery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–135, 3–161 Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–157-158
Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–136 Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–154
Kolide Fleet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–138 Obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–138
Outlook PE Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–99
Backdoor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–51, 1–55 Script Block Logging . . . . . . . . . . . . . . . . . . . . . . . 2–158
OVAL format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–106 Suspicious Commands . . . . . . . . . . . . . . . . . . . . . 2–160
Transcript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–155
v2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–146
P Without PowerShell . . . . . . . . . . . . . . . . . . . . . . . .2–147
PowerUp . . . . . . . . . . . . . . . . . . . . . . . . . 4–51, 3–147, W–244
Paranoid Phish . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–74 PowserSploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–133
Pass-the-hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–64-65 Prevention vs. Detection . . . . . . . . . . . . . . . . . . . . . . . . 1–87
Mimikatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–66 Prikormka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–146
Pass-the-ticket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–67

Print Spooler Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–37 Reverse Engineering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–50

Printer dots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–62 RFC 3748 (EAP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24
Private VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–102 Right-To-Left-Override . . . . . . . . . . . . . . . . . . . . . . . . . . 2–17
Privilege Escalation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–45 Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–67
Group Policy Preference . . . . . . . . . . . . . . . . . 4–49-50 Rita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–221
Service to System . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–56 RITA → Real Intelligence Threat Analytics . . . . .3–175
Unattended files . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–48 RomeoAlfa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–140
Unquoted Path . . . . . . . . . . . . . . . . . . . . . . . . . . 4–46-47 Rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–40
Process Creation Logging . . . . . . . . . . . . . . . . . . . . . . . 2–152 ROP → Return Oriented Programming . . . . . . . . . . 3–84
ProcFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–147, 2–164 Rotten Potato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–56
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–166 RPC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–41
Installing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–165 Rubber Duck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–18
Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–168 RunAsPPL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–71
ProjectSauron . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137
Protected Domain Users . . . . . . . . . . . . . . . . . . . . . . . . . 4–69
Protected Process . . . . . . . . . . . . . . . . . . . . . . . 4–70, W–262 S
Bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–72, W–265
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–71 Sabotage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–15, 1–33
Mimikatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–72 Safe Structured Except. Handl. (SafeSEH) 3–70, 3–80
Protected View . . . . . . . . . . . . . . . . . . . . . . . . . . 2–124, 2–129 Chain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–81
Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–90 SafeSEH → Safe Structured Exception Handling . . . . .
Proxy Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–91 SAINTExploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–50
PSHunt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–116 Sandboxing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–66
PsLogList . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–119 Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–73
Purple Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–71-73 Stealth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–74
vs. Red team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–74 SANS SIFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–140
PwnPlug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–29 Satellite Connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–53
Pyramid of Pain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–71 Scans.io . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–153
Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–74 SCAP (Security Content Automation Protocol) . 1–105
Hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–72 Scripting Languages . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–103
IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–73 SCT (Security Compliance Toolkit) . . . . . . . . . . . . . 1–108
Network Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–75 PolicyAnalyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–21
Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–76 SDL → Software Development Lifecyle . . . . . . . . . . . . . . .
TTPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–77 SEADADDY . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–149, 3–151
Seasponge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–20
secretsdump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–5
Q Security Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–89
Security Compliance Manager (SCM) . . . . . . . . . . . 1–108
QFE → Quick Fix Release . . . . . . . . . . . . . . . . . . . . 3–53-54 Security Cookie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–86
Quad9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–93 Security Identified (SID) . . . . . . . . . . . . . . . . . . . . . . . . . 4–15
SEHOP → Structured Exception Handling
Overwrite Protection . . . . . . . . . . . . . . . . . . . .
R SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–90
Sender Policy Framework (SPF) . . . . . . . . . . . . 2–6, 2–49
RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24 Check . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–50
Ransomware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–15 Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–50
RDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31 Session Initiation Protocol (SPI) . . . . . . . . . . 3–33, 1–100
Real Intel. Threat Analytics (RITA) . . . . .1–100, 3–175 Shadow IT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–147
Realtek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–40 Shadow Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–87
Red Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–70 Shamoon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137, 3–144
ReflectivePick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–147 Shavlik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–45
Registry Manipulations . . . . . . . . . . . . . . . . . . . . . . . . . 3–140 ShellCode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–119
Prevention and detection . . . . . . . . . . . . . . . . . . .3–142 Shellter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–5
regsvr32.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–111 Shodan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–154
Rekall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–147 SID → Security Identified . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Remsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137 Siemens Step 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–33
Responder . . . . . . . . . . . . . . . . . . . . . . . . .2–37, W–68, 4–138 Sigma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–133
ResponderGuard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–138 Kerberos RC4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–120
Return Oriented Programming (ROP) . . . . . . . . . . . 3–84 Over-pass-the-hash . . . . . . . . . . . . . . . . . . . . . . . . .4–119

Silver Ticket → Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–42

Single Sign-On . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–40 Persistence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–40
Skeleton Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–319 Privilege Escalation . . . . . . . . . . . . . . . . . . . . . . . . . 1–28
Sleuth Kit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–146 Subscription (Eventlog) . . . . . . . . . . . . . . . . . . . . . . . . .1–123
Sliding Scale of CyberSecurity . . . . . . . . . . . . . . . . . . 5–109 Suricata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–97
SMB Ruleset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–98
Exploit (ShadowBroker) . . . . . . . . . . . . . . . . . . . . .1–31 SWIFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–21-24
GPO for SMB Signing . . . . . . . . . . . . . . . . . . . . . W–76 Alliance software . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–26
Outbound . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–40 Customer Security Program . . . . . . . . . . . . . . . . . 1–30
Relaying . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–34, 2–42 SwiftOnSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–129
Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–44 SysMon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–124, 2–153
Responder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–43 Configuration . . . . . . . . . . . . . . . . . . . . . . 1–128, W–131
Signing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–71 Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–125
Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–44 GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–132
Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–121 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–126
Snake → Turla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Malicious use . . . . . . . . . . . . . . . . . . . . . . . . . 1–21, 1–25
Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–96 Mapping to ATT&CK . . . . . . . . . . . . . . . . . . . . . 1–130
Software Development Lifecyle (SDL) . . . . . . . . . . . 3–3-4 SysMonSearch (Visualization) . . . . . . . . . . . . . . 1–131
Agile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–16
Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–9
Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–10
Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–5 T
Phases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–6
Release . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–12 TAHITI Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . 5–112
Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–8 Task Scheduler . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–38, 3–137
Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–13 Prevention and detection . . . . . . . . . . . . . . . . . . .3–138
Selling the process . . . . . . . . . . . . . . . . . . . . . . . . . . 3–14 TFTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–35
Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–7 The Hive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–151
Verification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–10 Threat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–67
Software Restriction Policies (SRP) . . . . . . . . 2–90, 2–97 Threat Hunting
Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–97 Automation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–114
Source code review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–31 Hypothesis Definition . . . . . . . . . . . . . . . . . . . . . . 5–113
Spear-phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–45 Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–115
SPF → Sender Policy Framework . . . . . . . . . . . . . . . . . . . . Maturity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–108
SpiderFoot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–57, 1–152 Methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–112
Splunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–115, 1–123 Success Factors . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–111
SRP → Software Restriction Policies . . . . . . . . . . . . . . . . . Visualization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–117
SSL/TLS vs. Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–107
Fingerprinting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–176 Threat Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–24
Interception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–92 Threat Intelligence . . . . . . . . . . . . . . . . . . . . . . . . 5–68, 5–97
SSO → Single Sign-On . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Feeds . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–78
Stack Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–69
Allocation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–73 Operationalization . . . . . . . . . . . . . . . . . . . . . . . . . . 5–88
Canary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–86 Where to find? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5–78
Mitigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–77 Threat Modeling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–18
Overflow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–75-76 Tool (Microsoft) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–20
Shield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–87 ThreatCrowd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–80
Stager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .W–210 TLP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–84
StarFighter Empire Launcher . . . . . . . . . . . . . . . . . . . 2–110 TLS → SSL/TLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Steganography . . . . . . . . . . . . . . . . . . . . . . . 1–51, 1–55, 1–94 Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–76
STIG (Security Technical Implem. Guide) . . . . . . 1–107 TRIKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–19
STL (Statement List) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–42 Trust Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–125
STRIDE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–4, 3–19, 3–26 Macro Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–127
Strider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–137 Protected View . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–130
Structured Exception Handling Trusted items . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–126
Overwrite Protection (SEHOP) . . . . . . . . . . 3–70, 3–83 TTPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–65, 5–77
Stuxnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–149 TurboDiff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–65
Infection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–37 Turla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–50
Two factor authentication . . . . . . . . . . . . . . . . . . . . . . . 4–18

U wevtutil.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–119
Windows Access Token . . . . . . . . . . . . . . . . . 4–16-17, 4–56
UAC → User Account Control . . . . . . . . . . . . . . . . . . . . . . . Windows Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–73
UAF → Use After Free . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows as a Service (WaaS) . . . . . . . . . . . . . . . . . . . 3–47
Unicode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Branches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–48
URL Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–64 Windows Defender Application Control (WDAC) 2–90
urlquery.net . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–64 Windows Defender Device Guard . . . . . . . . . . . . . . . . 2–91
urlscan.io . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–64 Windows Event Collector Service . . . . . . . . . . . . . . . 1–123
Urobuos→ Turla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Windows Management Instrumentation (WMI) . 3–149
USB Weaponized . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–5, 2–15 Event Consumers . . . . . . . . . . . . . . . . . . . . . . . . . . 3–150
BadUSB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–19 Event Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–150
Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–21 FilterToConsumer Binding . . . . . . . . . . . . . . . . . 3–150
Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–20 Prevention and detection . . . . . . . . . . . . . . . . . . .3–152
USBGuard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–21 Windows Remote Management (WinRM) 1–123, 3–149
USBHarpoon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–18 Windows Script Host (WSH) . . . . . . . . . . . . . . . . . . . 2–104
USBKill . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–21 Disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W–120
Use After Free (UAF) . . . . . . . . . . . . . . . . . 3–11, 3–99-100 Hardening . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–111
User Account Control (UAC) . . . . . . . . . . . . . . . . . . . . 4–34 Windows Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–143
Bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–40 Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–103
GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–36-39 Prevention and detection . . . . . . . . . . . . . . . . . . .3–145
Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–34 Privilege Escalation to System . . . . . . . . . . . . . . 4–56
Windows SKU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–91
Winlogbeat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–123
V WMI → Windows Management Instrumentation . . . . .
VBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–115 Worm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–37
Declare statement . . . . . . . . . . . . . . . . . . . . . . . . . .2–116 WPAD → Web Proxy Auto-Discovery . . . . . . . . . . . . . . . .
Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–124 WSH → Windows Script Host . . . . . . . . . . . . . . . . . . . . . . . .
Downloader and Dropper . . . . . . . . . . . . . . . . . . 2–117 WSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–135
ShellCode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–119 WSUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–46
VBE → VBScript Encoding . . . . . . . . . . . . . . . . . . . . . . . . . .
VBR → Volume Boot Record . . . . . . . . . . . . . . . . . . . . . . . .
VBS → Virtualization Based Security . . . . . . . . . . . . . . . . X
VBScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–103
Downloader . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–106 XD Bit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–79
Encoding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–108
Obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–107
VeraCode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–32
Y
Vericode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–10
Yara . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–76
Virtualization Based Security (VBS) . . . . . . . . . . . . . 4–74
Modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–82
VirusTotal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–157
Repository . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–84
Visual Basic → VBScript . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Rule generator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–154
VisualCodeGrepper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–32
Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–78-81
Volatility . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–138, 5–141-145
Use . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–83
Volume Boot Record (VBR) . . . . . . . . . . . . . . . . . . . . 3–153
YaraGenerator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–155
Vulnerability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–67
yarGen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5–155
Vulnerability Assessment . . . . . . . . . . . . . . . . . . . . . . . . 3–28

W Z
WaaS → Windows as a Service . . . . . . . . . . . . . . . . . . . . . . . Zeek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–100
Watering hole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–5 Supported protocols . . . . . . . . . . . . . . . . . . . . . . . 1–100
Web Proxy Auto-Discovery (WPAD) . . . . . . . . . . . . 2–39 Zero Width Jointer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–54
Web Shells . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–134-135 Zero-Day . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–36
Prevention and detection . . . . . . . . . . . . . . . . . . .3–136 ZScaler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–91

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 10

Malware Reverse Engineering Guide
No ratings yet
Malware Reverse Engineering Guide
7 pages
Index 508
No ratings yet
Index 508
8 pages
Index 504
No ratings yet
Index 504
11 pages
Index 578
No ratings yet
Index 578
6 pages
Petegannettccmmlab1 2012
No ratings yet
Petegannettccmmlab1 2012
35 pages
Core
No ratings yet
Core
574 pages
IMAGINE Interface
100% (1)
IMAGINE Interface
170 pages
A Guide To Windows Power Tools
100% (1)
A Guide To Windows Power Tools
76 pages
Cli Crash Course
No ratings yet
Cli Crash Course
86 pages
Linux Fun Training Be 2019
No ratings yet
Linux Fun Training Be 2019
707 pages
Simplified Man Pages for Developers
No ratings yet
Simplified Man Pages for Developers
274 pages
Computing Command Line Linux
100% (2)
Computing Command Line Linux
203 pages
Windows 10 System Programming, Part 2 (Pavel Yosifovich)
100% (3)
Windows 10 System Programming, Part 2 (Pavel Yosifovich)
229 pages
XPEDITOR Quick Reference
No ratings yet
XPEDITOR Quick Reference
48 pages
Ws2000 Cli Guide
No ratings yet
Ws2000 Cli Guide
462 pages
ManualTheosCorona PDF
No ratings yet
ManualTheosCorona PDF
784 pages
Operation Grand Mars
100% (1)
Operation Grand Mars
45 pages
Dfir Cheat Sheets & Notebooks
No ratings yet
Dfir Cheat Sheets & Notebooks
51 pages
AIX - From New User To Technical Expert
No ratings yet
AIX - From New User To Technical Expert
372 pages
AIX - From New User To Technical Expert
No ratings yet
AIX - From New User To Technical Expert
372 pages
Superbasic Manual
No ratings yet
Superbasic Manual
1,010 pages
10G6 Quick View With Full Toc
No ratings yet
10G6 Quick View With Full Toc
21 pages
Gray Hat Hacking 19
No ratings yet
Gray Hat Hacking 19
1 page
2013 Autolisp Reference Guide
No ratings yet
2013 Autolisp Reference Guide
298 pages
Windows
No ratings yet
Windows
25 pages
PAN-OS 3.0 CLI Reference Guide
100% (1)
PAN-OS 3.0 CLI Reference Guide
262 pages
The Story of Microsoft PDF
0% (1)
The Story of Microsoft PDF
160 pages
MASMReference
No ratings yet
MASMReference
210 pages
BMC Discovery 11.3: Getting Started
No ratings yet
BMC Discovery 11.3: Getting Started
37 pages
GettingStarted 11.3.0.4
No ratings yet
GettingStarted 11.3.0.4
37 pages
BMC Discovery 11.3: Getting Started
No ratings yet
BMC Discovery 11.3: Getting Started
37 pages
BMC Discovery 11.3: Getting Started
No ratings yet
BMC Discovery 11.3: Getting Started
37 pages
Fortigate Utm 40 mr3
No ratings yet
Fortigate Utm 40 mr3
313 pages
Utm Guide: Fortios™ Handbook V3 For Fortios 4.0 Mr3
No ratings yet
Utm Guide: Fortios™ Handbook V3 For Fortios 4.0 Mr3
313 pages
Python Everyday
No ratings yet
Python Everyday
99 pages
Gray Hat Hacking 17
No ratings yet
Gray Hat Hacking 17
1 page
AP8853
No ratings yet
AP8853
118 pages
Ten Steps To Linux Survival
No ratings yet
Ten Steps To Linux Survival
189 pages
Cisco Series300 Manual
No ratings yet
Cisco Series300 Manual
704 pages
Index 401
No ratings yet
Index 401
17 pages
Acdmac 2012 Autolisp Reference Guide
No ratings yet
Acdmac 2012 Autolisp Reference Guide
300 pages
Autolisp Functions 2012
No ratings yet
Autolisp Functions 2012
300 pages
Hacking Java Script Short
No ratings yet
Hacking Java Script Short
67 pages
AA PDU1A-TC RT-11 IND Control Files Manual Aug91
No ratings yet
AA PDU1A-TC RT-11 IND Control Files Manual Aug91
178 pages
Computers For Beginners
No ratings yet
Computers For Beginners
119 pages
Computers For Beginners PDF
No ratings yet
Computers For Beginners PDF
119 pages
Command Line Handbook 2025 05
No ratings yet
Command Line Handbook 2025 05
123 pages
Intro TCL
No ratings yet
Intro TCL
39 pages
Texlive en
No ratings yet
Texlive en
47 pages
D OSWP-Report
0% (2)
D OSWP-Report
18 pages
Index 572
No ratings yet
Index 572
3 pages
EnglishArabicVocabularyfortheUseofOfficialsintheAngloEgyptianSudan 10852144
No ratings yet
EnglishArabicVocabularyfortheUseofOfficialsintheAngloEgyptianSudan 10852144
473 pages
Mega Downloads
No ratings yet
Mega Downloads
2 pages
Maze - Runner#0964: If You Want To Buy The Reports For Cheap Price DM Me On Discord
No ratings yet
Maze - Runner#0964: If You Want To Buy The Reports For Cheap Price DM Me On Discord
33 pages
Maze - Runner#0964: If You Want To Buy The Reports For Cheap Price DM Me On Discord
No ratings yet
Maze - Runner#0964: If You Want To Buy The Reports For Cheap Price DM Me On Discord
33 pages
CRTP-full Exam Report
86% (7)
CRTP-full Exam Report
23 pages
It GC Explained
No ratings yet
It GC Explained
14 pages
Pentestfor AD
100% (1)
Pentestfor AD
48 pages
WP Securing Smart Cities PDF
No ratings yet
WP Securing Smart Cities PDF
55 pages
IP Phone Auth Issue Fix Guide
No ratings yet
IP Phone Auth Issue Fix Guide
5 pages
RCM User Guide
No ratings yet
RCM User Guide
94 pages
TenSteps Troubleshooting WiFi
No ratings yet
TenSteps Troubleshooting WiFi
23 pages
CISSP Session 03
100% (1)
CISSP Session 03
85 pages
Wireless Hacking
No ratings yet
Wireless Hacking
139 pages
Introduction To CAPWAP (Ch12)
No ratings yet
Introduction To CAPWAP (Ch12)
11 pages
Red Hat JBoss Enterprise Application Platform-7.2-Getting Started With JBoss EAP For OpenShift Container Platform-En-US
No ratings yet
Red Hat JBoss Enterprise Application Platform-7.2-Getting Started With JBoss EAP For OpenShift Container Platform-En-US
66 pages
CnPilot E400E500 Indoor and EPMP 1000 Hotspot Release Notes 3.2-b19
No ratings yet
CnPilot E400E500 Indoor and EPMP 1000 Hotspot Release Notes 3.2-b19
6 pages
Dual Band Wireless Ac 7265 Brief
No ratings yet
Dual Band Wireless Ac 7265 Brief
2 pages
RUCKUS-SmartZone-Family-Data-Sheet
No ratings yet
RUCKUS-SmartZone-Family-Data-Sheet
13 pages
MFC J4340DW XL - Brochure
No ratings yet
MFC J4340DW XL - Brochure
4 pages
Ise 2 0 Atp HLD Template v0 4
No ratings yet
Ise 2 0 Atp HLD Template v0 4
28 pages
Wireless LAN Security
No ratings yet
Wireless LAN Security
24 pages
WEP WPA WPA2 Overview PDF
No ratings yet
WEP WPA WPA2 Overview PDF
5 pages
Ccs354 Network Security QB 2024-2025
No ratings yet
Ccs354 Network Security QB 2024-2025
18 pages
DS-2CD6825G0 C-IV (S) (B) Datasheet V5.8.0 20220520
No ratings yet
DS-2CD6825G0 C-IV (S) (B) Datasheet V5.8.0 20220520
6 pages
CWSP-208 Dumps - Certified Wireless Security Professional (CWSP)
No ratings yet
CWSP-208 Dumps - Certified Wireless Security Professional (CWSP)
9 pages
Dual Band Wireless Ac 3165 Brief
No ratings yet
Dual Band Wireless Ac 3165 Brief
2 pages
Cisco Aironet 2700
No ratings yet
Cisco Aironet 2700
9 pages
Intel® Wireless-AC 9462: Product Brief
No ratings yet
Intel® Wireless-AC 9462: Product Brief
3 pages
WiMAX for Telecom Professionals
No ratings yet
WiMAX for Telecom Professionals
35 pages
Network Engineer: IT/ICT & Wireless Solutions
No ratings yet
Network Engineer: IT/ICT & Wireless Solutions
9 pages
Nse7 Efw-7.2 3
No ratings yet
Nse7 Efw-7.2 3
9 pages
VOCOM II - Operation Instructions
100% (2)
VOCOM II - Operation Instructions
70 pages
Comptia Net+ Lead2pass Study Guide
No ratings yet
Comptia Net+ Lead2pass Study Guide
165 pages
Website: Vce To PDF Converter: Facebook: Twitter:: Jpr-961.Vceplus - Premium.Exam.65Q
No ratings yet
Website: Vce To PDF Converter: Facebook: Twitter:: Jpr-961.Vceplus - Premium.Exam.65Q
26 pages
Cambium Networks Data Sheet WiFi-6 XV2-2 AP
No ratings yet
Cambium Networks Data Sheet WiFi-6 XV2-2 AP
8 pages
Datasheet Axis c1310 e MK II Network Horn Speaker en US 448820
No ratings yet
Datasheet Axis c1310 e MK II Network Horn Speaker en US 448820
5 pages
Using 802.1x Port Authentication To Control Who Can Connect To Your Network
No ratings yet
Using 802.1x Port Authentication To Control Who Can Connect To Your Network
11 pages