攻击者利用的Windows命令
2021-06-18 10:03
标签:连接 analysis user ref active sheet 包含 攻击 cert 横向渗透工具分析结果列表 https://jpcertcc.github.io/ToolAnalysisResultSheet/ 攻击者利用的Windows命令 https://blogs.jpcert.or.jp/ja/2015/12/wincommand.html 通过搜索.pf文件可以确认恶意程序启动的时间。目录位置在【"C:\Windows\Prefetch"】 at和wmic通常用于在远程终端上运行恶意软件。 此外,通过使用wmic命令,可以通过指定以下参数在远程终端上执行该命令。 通过使用AppLocker或软件限制策略限制此类命令的执行。 启用AppLocker指定的Windows命令已执行或否认事件试图运行将被记录在事件日志中,Windows命令攻击者在恶意软件感染后执行,它也可以用于调查。 攻击者利用的Windows命令 标签:连接 analysis user ref active sheet 包含 攻击 cert 原文地址:https://www.cnblogs.com/17bdw/p/10311287.html1、exe启动缓存文件目录
2、常用命令
攻击者通常用于收集受感染终端信息的命令
1 tasklist
2 ver
3 ipconfig
4 systeminfo
5 net time
6 netstat
7 whoami
8 net start
9 qprocess
10 query
探索活动
1 dir
2 net view
3 ping
4 net use
5 type
6 net user
7 net localgroup
8 net group
9 net config
10 net share
域环境
dsquery:Active Directory中包含的搜索帐户
csvde:获取Active Directory中包含的帐户信息
感染传播
1 at
2 reg
3 wmic
4 wusa
5 netsh advfirewall
6 sc
7 rundll32
at命令,通过注册任务到远程终端上相对于文件运行到连接端简单能够以下面的方式,可以通过命令。at \\[远程主机名或IP地址] 12:00 cmd / c “C:\windows\temp\mal.exe”
wmic /node:[IP地址] /user: “[用户名]”/password: “[口令]” process call create “cmd /c c:\Windows\System32\net.exe user”
3、限制执行不必要的Windows命令
下一篇:windows开发各种dll缺失