声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。
雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
强调:文章涉及均为本地测试靶机。
No.1
psexec类工具特征
msf中的psexec:
特征
1.注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\下建立一个8位随机字母命名的注册表键(即创建服务),执行命令结束后删除此键。
2.C:/windows/temp下建立一个随机命名的txt 把命令输出结果放入(最后这个txt会留在temp目录下)
EXEC_create,C:\Windows\system32\cmd.exe,parent_pid:484 cmdline:'C:\Windows\system32\cmd.exe /C echo whoami ^> C:\WINDOWS\Temp\EnmZQVgPjuAyaEJB.txt > \WINDOWS\Temp\pTRZXNYmpweVglzy.bat & C:\Windows\system32\cmd.exe /C start C:\Windows\system32\cmd.exe /C \WINDOWS\Temp\pTRZXNYmpweVglzy.bat日志关注id 7045和4624
lmpacket psexec:
特征
1.C:\Windows下写入一个8位随机字母的exe,HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\下创建一个4位随机字母的注册表键
2.c:/windows/temp/下保存结果 读取后删除
日志依然关注7045与4624
No.2
scshell工具特征
特征
修改目标服务二进制路径名并启动服务
REG_setval,HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\VSS\ImagePath,type:0x00000002 datalen:60 data:'43 3A 5C 57 69 6E 64 6F 77 73 5C 73 79 73 74 65 '
日志关注连续两次的id4624登录
No.3
wmiexec.vbs特征
登录后在c盘下创建wmi.dll文件
写入等操作后删除
日志关注连续4次4624、4672事件
No.4
linux下pth-winexe特征
在c:/windows下创建winexesvc.exe文件,同时在注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\下创建winexesvc注册表键命令执行完关闭连接后,不会清理winexesvc.exe与winexesvc注册表键
日志依然关注4624
参考文章:
1.https://www.dazhuanlan.com/2019/12/13/5df3189464ddf/
2.https://www.jianshu.com/p/66bfaaba5fdc
3.https://zhuanlan.zhihu.com/p/34239250
4.https://dl.packetstormsecurity.net/papers/general/lateral-movement-using-winrm.pdf
注:本文由E安全编译报道,转载请注原文地址 https://www.easyaq.com
