点击蓝字,立即关注
1、简介
如果攻击者设法将恶意脚本或程序添加到Windows的启动文件夹,可能会实现持久性。该文件夹中的程序在用户登录到端点时执行。通过使用 Wazuh FIM 模块监视 Windows 启动文件夹,您可以检测用户可能添加的任何可疑或未知程序。
2、配置方式
操作系统:Windows10
配置路径:C:Program Files (x86)ossec-agentossec.conf
是否需要配置:否,默认已经配置完毕
<syscheck>
<directories realtime="yes">%PROGRAMDATA%MicrosoftWindowsStart MenuProgramsStartup</directories>
</syscheck>
3、验证方法
3.1Powershell启用TLS1.2
默认Powershell只支持TLS1.3,如果执行https站点访问会提示报错,增加支持TLS1.2
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Ssl3 -bor [Net.SecurityProtocolType]::Tls -bor [Net.SecurityProtocolType]::Tls11 -bor [Net.SecurityProtocolType]::Tls12
[Net.ServicePointManager]::SecurityProtocol
3.2下载文件到启动项
cd "C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup"
Invoke-WebRequest -Uri https://secure.eicar.org/eicar.com.txt -OutFile eicar.txt
测试完毕可以直接删除文件
Remove-Item eicar.txt
3.3查看监控信息
在代理中选择文件监控,查看已经监控到开机启动项文件变动
原文始发于微信公众号(安全孺子牛):Wazuh监测Windows启动项
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论