路由网在网络安全领域,一个完整的攻击生命周期通常包含以下7个主要步骤:
Recon(侦察)、Weaponisation(武器化)、Delivery(投递)、Exploitation(利用)、Installation(安装)、Command & Control(命令与控制)和Actions on Objectives(对目标采取行动)。其中,第5个步骤“Installation”指的是在不需要重复前4个步骤的情况下,重新获得对系统的命令和控制权。当某些操作无法进行时,可能需要考虑权限问题、UAC策略等。
本文将介绍一些基本的持久性策略和技术。通常,触发C2通道(命令与控制通道)的持久性机制存在于以下级别之一:
- 中等强制级别,在标准用户的上下文中。
- 在SYSTEM的背景下强制性水平较高。
UserLand 技术
在UserLand层面,常用的注册表路径包括:
- HKCU:HKCR:HKEY_CLASSES_ROOT
- HKCU:HKEY_CURRENT_USER
- HKLM:HKEY_LOCAL_MACHINE
- HKU:HKEY_USERS
- HKCC:HKEY_CURRENT_CONFIG
例如,可以在HKCUSoftwareMicrosoftWindows(或其他路径)中创建一个REG_SZ值(字符串值):
- name: Backdoor
- data: C:usersCreaTeAppDataLocalTempackdoor.exe
启动:
在用户启动文件夹中创建批处理脚本:
批处理脚本的作用是每次开机时启动脚本,从而触发backdoor.exe。
计划任务:
使用PowerShell创建计划任务:
Powershell配置文件:
Elevated技术
在Elevated层面,常用的注册表路径包括:
- HKLM:HKLM:HKEY_LOCAL_MACHINE
- HKLMSoftwareMicrosoftWindows
可以在这里设置name和data值。
服务:
创建一个将自动或按需启动的服务:
计划任务:
以System身份运行,每天上午9点触发:
维持特权:
使用runas脚本:
参考:
NTLM哈希:
权限始终是一个问题,可以导出Server Hash:
使用sekurlsa::pth命令:
添加新的本地用户可以提供一种返回计算机的方法。如果将它们放在Administrators组中太明显,请使用其他特权组,例如Remote Desktop Users,Remote Management Users或Backup Operators。
白银票据:
参考:
OWA2010CN-God
黄金票据:
拿下域控:
来源:Ms08067安全实验室
