zoukankan      html  css  js  c++  java
  • 攻击者利用的Windows命令、横向渗透工具分析结果列表

    横向渗透工具分析结果列表

    https://jpcertcc.github.io/ToolAnalysisResultSheet/

    攻击者利用的Windows命令

    https://blogs.jpcert.or.jp/ja/2015/12/wincommand.html

    1、exe启动缓存文件目录

    通过搜索.pf文件可以确认恶意程序启动的时间。目录位置在【"C:WindowsPrefetch"】

    2、常用命令

    攻击者通常用于收集受感染终端信息的命令

    1	 tasklist	 
    2	 ver	     
    3	 ipconfig	 
    4	 systeminfo	 
    5	 net time	 
    6	 netstat	 
    7	 whoami	     
    8	 net start	 
    9	 qprocess	 
    10	 query	  
    

    探索活动

    1	 dir	 
    2	 net view	
    3	 ping	
    4	 net use	 
    5	 type	
    6	 net user	
    7	 net localgroup	 
    8	 net group	
    9	 net config	
    10	 net share	   
    

    域环境

    dsquery:Active Directory中包含的搜索帐户
    csvde:获取Active Directory中包含的帐户信息
    

    感染传播

    1	 at	 
    2	 reg	 
    3	 wmic
    4	 wusa	
    5	 netsh advfirewall
    6	 sc	 
    7	 rundll32	
    

    at和wmic通常用于在远程终端上运行恶意软件。
    at命令,通过注册任务到远程终端上相对于文件运行到连接端简单能够以下面的方式,可以通过命令。

    at \[远程主机名或IP地址] 12:00 cmd / c “C:windows	empmal.exe”
    

    此外,通过使用wmic命令,可以通过指定以下参数在远程终端上执行该命令。

    wmic /node:[IP地址] /user: “[用户名]”/password: “[口令]” process call create “cmd /c c:WindowsSystem32
    et.exe user”
    

    3、限制执行不必要的Windows命令

    通过使用AppLocker或软件限制策略限制此类命令的执行。

    启用AppLocker指定的Windows命令已执行或否认事件试图运行将被记录在事件日志中,Windows命令攻击者在恶意软件感染后执行,它也可以用于调查。

  • 相关阅读:
    poj 1840 简单哈希
    poj 2151概率dp
    poj 3349 简单hash
    poj3274 hash
    poj 1459 最大流 Dinic模板题
    poj 3436 最大流-拆点
    poj 3020 二分图最大匹配
    poj 1094 简单拓扑排序
    poj3687 反向建图拓扑排序
    poj 3267
  • 原文地址:https://www.cnblogs.com/17bdw/p/10311287.html
Copyright © 2011-2022 走看看