攻擊者利用的Windows命令、橫向滲透工具分析結果列表

時間 2019-11-12

標籤攻擊利用 windows 命令橫向滲透工具分析結果列表欄目系統網絡简体版

原文原文鏈接

橫向滲透工具分析結果列表html

https://jpcertcc.github.io/ToolAnalysisResultSheet/node

攻擊者利用的Windows命令git

https://blogs.jpcert.or.jp/ja/2015/12/wincommand.htmlgithub

一、exe啓動緩存文件目錄

經過搜索.pf文件能夠確認惡意程序啓動的時間。目錄位置在【"C:\Windows\Prefetch"】windows

二、經常使用命令

攻擊者一般用於收集受感染終端信息的命令

1    tasklist    
2    ver         
3    ipconfig    
4    systeminfo  
5    net time    
6    netstat     
7    whoami      
8    net start   
9    qprocess    
10   query

探索活動

1    dir     
2    net view   
3    ping   
4    net use     
5    type   
6    net user   
7    net localgroup  
8    net group  
9    net config 
10   net share

域環境

dsquery：Active Directory中包含的搜索賬戶
csvde：獲取Active Directory中包含的賬戶信息

感染傳播

1    at  
2    reg     
3    wmic
4    wusa   
5    netsh advfirewall
6    sc  
7    rundll32

at和wmic一般用於在遠程終端上運行惡意軟件。
at命令，經過註冊任務到遠程終端上相對於文件運行到鏈接端簡單可以如下面的方式，能夠經過命令。緩存

at \\[遠程主機名或IP地址] 12:00 cmd / c 「C:\windows\temp\mal.exe」

此外，經過使用wmic命令，能夠經過指定如下參數在遠程終端上執行該命令。工具

wmic /node:[IP地址] /user: 「[用戶名]」/password: 「[口令]」 process call create 「cmd /c c:\Windows\System32\net.exe user」

三、限制執行沒必要要的Windows命令

經過使用AppLocker或軟件限制策略限制此類命令的執行。fetch

啓用AppLocker指定的Windows命令已執行或否定事件試圖運行將被記錄在事件日誌中，Windows命令攻擊者在惡意軟件感染後執行，它也能夠用於調查。日誌

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。