横向渗透工具分析结果列表
https://jpcertcc.github.io/ToolAnalysisResultSheet/
攻击者利用的Windows命令
https://blogs.jpcert.or.jp/ja/2015/12/wincommand.html
1、exe启动缓存文件目录
通过搜索.pf文件可以确认恶意程序启动的时间。目录位置在【"C:WindowsPrefetch"】
2、常用命令
攻击者通常用于收集受感染终端信息的命令
1 tasklist
2 ver
3 ipconfig
4 systeminfo
5 net time
6 netstat
7 whoami
8 net start
9 qprocess
10 query
探索活动
1 dir
2 net view
3 ping
4 net use
5 type
6 net user
7 net localgroup
8 net group
9 net config
10 net share
域环境
dsquery:Active Directory中包含的搜索帐户
csvde:获取Active Directory中包含的帐户信息
感染传播
1 at
2 reg
3 wmic
4 wusa
5 netsh advfirewall
6 sc
7 rundll32
at和wmic通常用于在远程终端上运行恶意软件。
at命令,通过注册任务到远程终端上相对于文件运行到连接端简单能够以下面的方式,可以通过命令。
at \[远程主机名或IP地址] 12:00 cmd / c “C:windows empmal.exe”
此外,通过使用wmic命令,可以通过指定以下参数在远程终端上执行该命令。
wmic /node:[IP地址] /user: “[用户名]”/password: “[口令]” process call create “cmd /c c:WindowsSystem32
et.exe user”
3、限制执行不必要的Windows命令
通过使用AppLocker或软件限制策略限制此类命令的执行。
启用AppLocker指定的Windows命令已执行或否认事件试图运行将被记录在事件日志中,Windows命令攻击者在恶意软件感染后执行,它也可以用于调查。