攻擊者利用的Windows命令
阿新 • • 發佈:2019-01-23
nco 時間 軟件限制策略 fig 用戶 分析 tasklist inf who
橫向滲透工具分析結果列表
https://jpcertcc.github.io/ToolAnalysisResultSheet/
攻擊者利用的Windows命令
https://blogs.jpcert.or.jp/ja/2015/12/wincommand.html
1、exe啟動緩存文件目錄
通過搜索.pf文件可以確認惡意程序啟動的時間。目錄位置在【"C:\Windows\Prefetch"】
2、常用命令
攻擊者通常用於收集受感染終端信息的命令
1 tasklist 2 ver 3 ipconfig 4 systeminfo 5 net time 6 netstat 7 whoami 8 net start 9 qprocess 10 query
探索活動
1 dir
2 net view
3 ping
4 net use
5 type
6 net user
7 net localgroup
8 net group
9 net config
10 net share
域環境
dsquery:Active Directory中包含的搜索帳戶
csvde:獲取Active Directory中包含的帳戶信息
感染傳播
1 at 2 reg 3 wmic 4 wusa 5 netsh advfirewall 6 sc 7 rundll32
at和wmic通常用於在遠程終端上運行惡意軟件。
at命令,通過註冊任務到遠程終端上相對於文件運行到連接端簡單能夠以下面的方式,可以通過命令。
at \\[遠程主機名或IP地址] 12:00 cmd / c “C:\windows\temp\mal.exe”
此外,通過使用wmic命令,可以通過指定以下參數在遠程終端上執行該命令。
wmic /node:[IP地址] /user: “[用戶名]”/password: “[口令]” process call create “cmd /c c:\Windows\System32\net.exe user”
3、限制執行不必要的Windows命令
通過使用AppLocker或軟件限制策略限制此類命令的執行。
啟用AppLocker指定的Windows命令已執行或否認事件試圖運行將被記錄在事件日誌中,Windows命令攻擊者在惡意軟件感染後執行,它也可以用於調查。
攻擊者利用的Windows命令