阳春三月，春暖花开！PSRC线上沙龙系列主题活动与你相约！3月17日，我们邀请了4位演讲嘉宾，带来攻击利用与防御的干货分享！从多角度、多领域来为大家分享漏洞挖掘技巧及方法。除了精彩议题，还有4个抽奖环节，丰富多彩的奖品等你来抽！

扫描上方二维码👆

关注微信视频号【平安集团安全应急响应】

预约直播，精彩议题不错过！

1. 基于Windows ETW日志检测高级威胁

罗逸，平安科技银河实验室资深安全研究员，从事红蓝对抗工作7+年，有丰富的红蓝对抗经验。擅长Windows安全攻防、木马免杀、C2远程控制等技术。

2. JNDI利用综述

简介：JNDI(Java Naming and Directory Interface)是一个应用程序设计的API，为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接口，JNDI设计的初衷是为了解耦和，但其远程服务LDAP和RMI却成为恶意攻击的帮凶，很多知名Java漏洞都离不开它的身影。在本次演讲中，将介绍JNDI在各种漏洞中的用法，如weblogic、fastjson、log4j2等，以及绕过JDK限制的诸多办法。

罗珂，平安银行安全研究员，擅长攻击打点、代码审计

3. Windows RPC及impacket开发在后渗透中的利用

impacket本质上是一个Python的Windows RPC协议通信模块，在其example文件夹下有很多利用该工具包对域认证及主机进行操作的示例脚本，能满足基本的域渗透需求。正因如此几乎没有介绍如何利用impacket对后渗透遇到的场景进行工具开发的资料。相反的是，在后续的很多后渗透的利用脚本中都直接使用了impacket模块进行开发，如sam-the-admin、CVE-2022-33679等。

本次议题分享将讲解impacket实现的RPC协议及使用impacket开发实现对EDR进行绕过等效果的利用工具源码，使听众进一步掌握Windows RPC通信协议及impacket后渗透开发，以便后续在实战环境中根据实际攻防进行工具开发及利用。

鲁平，Day1安全团队蓝军方向负责人，曾任职于某互联网大厂蓝军，负责黑灰产线下打击，目前从事情报攻防实战工作，擅长黑灰产打击及实战攻防。

4. 主机入侵检测浅谈

简介：如今的攻击事件中，例如0day等未知威胁的出现频率越来越高。传统的基于规则库的入侵检测系统，其原理是通过对已知漏洞和攻击手法进行分析和特征提取，出现行为与规则库匹配时则产生告警。对于已知威胁，传统IDS具备较好的检出能力，但对于未知威胁，由于不可能提前对其进行规则编写，则往往无法检出。规则库是目前用得最广泛的入侵检测技术，基于机器学习和基于行为的IDS，尽管噱头火热，但大多误报率高，且在运营过程中不具备可解释性。本议题和大家探讨规则库构建方法的一些改变，能否在保留规则库稳定和高解释性优势的基础上，针对未知威胁也提升一些检出能力。

lalalashenla，Timeline Sec成员，暨南大学网安硕士，Xp0int战队成员

蓝牙音箱、T恤、背包、眼罩、渔夫帽、鼠标垫等多个礼品等你来抽！

扫描下方二维码，

关注微信视频号【平安集团安全应急响应】

预约直播，精彩绝不错过！