zoukankan      html  css  js  c++  java

  • 检测并移除WMI持久化后门

     
      WMI型后门只能由具有管理员权限的用户运行。WMI后门通常使用powershell编写的,可以直接从新的WMI属性中读取和执行后门代码,给代码加密。通过这种方式攻击者会在系统中安装一个持久性的后门,且不会在磁盘中留下任何文件。
      WMI型后门主要有两个特征:无文件和无进程。其基本原理是:将代码加密存储在WMI中,达到所谓的无文件;当设定的条件满足时,系统将自动启动powershell进程去执行后门程序,当后门程序执行后进程就会消失。
     
    检查WMI后门,CommandLineTemplate的内容就是程序要执行的命令。
    Get-WMIObject -Namespace rootSubscription -Class CommandLineEventConsumer -Filter "Name='Updater'"
     
    清除WMI后门的常用方法有:
    1.删除自动运行列表中的恶意WMI条目。
    2.在powershell中使用Get-WMIObject命令删除与WMI持久化相关的组件。
     
    WMI后门检测
    # Reviewing WMI Subscriptions using Get-WMIObject
    # Event Filter
    Get-WMIObject -Namespace rootSubscription -Class __EventFilter -Filter "Name='Updater'"
    # Event Consumer
    Get-WMIObject -Namespace rootSubscription -Class CommandLineEventConsumer -Filter "Name='Updater'"
    # Binding
    Get-WMIObject -Namespace rootSubscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%Updater%'"
     
    使用Remove-WMIObject命令来删除WMI持久性后门的所有组件。
    # Removing WMI Subscriptions using Remove-WMIObject
    # Event Filter
    Get-WMIObject -Namespace rootSubscription -Class __EventFilter -Filter "Name='Updater'" | Remove-WmiObject -Verbose
    # Event Consumer
    Get-WMIObject -Namespace rootSubscription -Class CommandLineEventConsumer -Filter "Name='Updater'" | Remove-WmiObject -Verbose
    # Binding
    Get-WMIObject -Namespace rootSubscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%Updater%'" | Remove-WmiObject -Verbose
     
    参考链接:
     
  • 相关阅读:
    UWP 常用文件夹
    UWP 判断Windows10系统版本
    UWP 图片缩放
    Windows 10「设置」应用完整MS-Settings快捷方式汇总
    UWP 用Thumb 控件仿制一个可拖动悬浮 Button
    【mp3】洗脑循环了!龙珠超 自在极意功 【究极の圣戦】串田アキラ 背景纯音乐
    工作三年后的总结
    css3 移动端 开关效果
    js 移动端上拉加载下一页通用方案
    【我的上传番剧/电影】收藏夹
  • 原文地址:https://www.cnblogs.com/micr067/p/12323237.html
Copyright © 2011-2022 走看看