文章详情
思路分享:windows权限维持场景中如何隐藏服务信息
日期:2020/11/9 9:55:57
思路分享:windows权限维持场景中如何隐藏服务信息
1. 译文声明
本文是翻译文章,原作者 Joshua Wright
原文地址:https://www.sans.org/blog/red-team-tactics-hiding-windows-services/
译文仅作参考,具体内容表达请见原文
2. 前言
在近期的一次红蓝对抗中遇到了一些蓝方大佬,我们使用了自行开发的后门程序来逃避目标主机上的EDR防护措施(终端检测响应平台)。但我们预估目标系统上的主机分析最终会检测到后门程序从而导致我们被扣分。
分析了一些EDR检测模型后,我们初步打算使用常规可信的服务名称来对抗检测,这些可信的服务名称可能会被优先忽略。在这里,SWCUEngine
是对应的后门程序,我们将其伪装成了AVAST软件清理引擎
。虽然这可能会逃避宽松的安全检查,但在真实的红蓝对抗中,这种方法还是不得劲。
# 使用Get-Service查看目标服务信息
PS C:\WINDOWS\system32> Get-Service -Name SWCUEngine
Status Name DisplayName
------ ---- -----------
Running SWCUEngine SWCUEngine
相关推荐
- 10-21记一次偶遇Adminer
- 05-26某OA接口绕过后任意文件上传分析
- 05-21新的反序列化链——Click1
- 11-13某HW行动中的一次渗透测试
- 10-21巧用可变函数绕过CVE-2020-15148限制
- 05-24TwoTricksOfCAS-CLIENTAUTHBypass
- 10-23谈谈AMF网站的渗透测试
- 11-06案例分享:Location302跳转 CRLF场景下如何构
- 10-20懒惰使人进步:探索与发现的思维
- 10-21从报错信息泄露到使用ECS接口执行命令反弹s
- 05-11免杀入门混淆加密方法分析,看这一篇就够了。
- 05-13物联网设备常见的web服务器——uhttpd源码分
- 10-21Tomcat进程注入技术复现
- 11-10半途而废的测试(二)