检测 evil-winrm

admin 2024年11月26日15:19:18评论13 views字数 1444阅读4分48秒阅读模式

检测 evil-winrm

什么是“evil-winrm”/WinRM?

Evil-WinRM 是一种后漏洞利用工具,它提供了一种通过 Windows 远程管理 (WinRM) 与 Windows 系统交互的简化和高效方式。它广泛用于渗透测试和 Capture the Flag (CTF) 场景,例如 HackTheBox,以在受感染的系统上建立交互式 shell。

Windows 远程管理 (WinRM) 是一项支持远程管理系统的 Windows 服务。它基于 Web 服务管理 (WS-Man) 协议,该协议允许通过以下方式与系统进行远程交互:

  • 远程命令执行

  • 脚本(通过 PowerShell)

  • 配置管理

默认情况下:

  • WinRM 侦听端口 5985 (HTTP) 和端口 5986 (HTTPS)。

它支持 NTLM、Kerberos 或基本身份验证 ((如果启用) )等身份验证方法。

分析

为了通过 WinRM 进行连接,我打开了我的受害者计算机并键入了 WinRM,正如命令提示的那样,它将快速配置 WinRM。完成后,我打开了我的 Kali 盒子并输入了以下内容:winrm quickconfig

检测 evil-winrm

“-p” 是密码,已删失

正如我们所看到的,我们建立了联系。身份验证成功后,Evil-WinRM 会启动与目标系统的远程 PowerShell 会话。该工具的工作方式非常简单,不像 “ATExec” 和 “PSExec” 那样生成更明显的工件,如服务和任务文件。

检波

为了检测 Evil-WinRM 的使用情况,我们将利用 Powershell Module Logging。在受害计算机上,我打开了组策略编辑器并执行以下操作:

  • Windows 组件> Windows PowerShell >计算机配置>管理模板。

  • 选择:打开模块日志记录

  • 点击 “Module Names” 旁边的 “Show”,然后输入:

检测 evil-winrm

  • 单击 OK

  • 打开 CMD 并键入 这将立即强制 GP 更新。gpupdate /force

现在我将从 Kali 重新连接到我的受害者机器。完成此操作后,我们可以看到它通过 Event Viewer 生成的工件,位于 Applications and Services Logs > Microsoft > Windows > PowerShell > Operational:

检测 evil-winrm

需要注意的是,建立连接后,攻击者键入的每个命令都将替换“(get-location).path”。我们在这里检测到的只是初始的 evil-winrm 连接

这是一个可靠的指标。由于我使用 QRadar 作为我的实验室 SIEM,因此我可以以下格式查看事件:

检测 evil-winrm

我将解析将在其上创建检测规则的三个感兴趣字段:

  • “Command” 使用正则表达式 Command Name = (.+?(?=s*CommandsType))

  • 使用正则表达式 value=“(.+?) 的 ”Command Value”名字

  • 使用正则表达式主机应用程序的“进程路径” = (.+?(?=s*EnginesVersion))

然后,我可以创建如下规则:

检测 evil-winrm

其它相关课程

检测 evil-winrm

检测 evil-winrm

检测 evil-winrm

检测 evil-winrm

详细目录 

QT开发底层原理与安全逆向视频教程

检测 evil-winrm

  • 检测 evil-winrm

  • 检测 evil-winrm

linux文件系统存储与文件过滤安全开发视频教程(2024最新)

检测 evil-winrm

linux高级usb安全开发与源码分析视频教程

检测 evil-winrm

linux程序设计与安全开发

检测 evil-winrm

  • windows恶意软件开发与对抗视频教程

  • 检测 evil-winrm

  • 检测 evil-winrm

  • windows

  • 检测 evil-winrm

  • windows()

  • 检测 evil-winrm

  • USB()

  • 检测 evil-winrm

  • ()

  • 检测 evil-winrm

  • ios

  • 检测 evil-winrm

  • windbg

  • 检测 evil-winrm

  • ()

  • 检测 evil-winrm检测 evil-winrm检测 evil-winrm

  • 检测 evil-winrm

  • 检测 evil-winrm

  • 检测 evil-winrm

原文始发于微信公众号(安全狗的自我修养):检测 “evil-winrm”

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月26日15:19:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   检测 evil-winrmhttps://cn-sec.com/archives/3438541.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息