所以,凭什么说我的主机被入侵了呢?
0×01 红队渗透流程
知攻击才能懂防守,以作为攻击方的红队视角:作为攻击者,当你拿到主机的一般用户权限后你会做什么?那当然是收集信息,然后尽可能的获得更高的权限了
攻击手段有千万种,往往脱离不了以下规则:
1.尽可能的获取有用的信息。 –>敏感文件被访问
2.修改Windows相关配置以达到自身的目的。 –>系统配置被修改
先梳理一下渗透测试中常见的一些姿势:
那么以上流程,在蓝队的视角里就是如下情况:
收集信息:
执行cmd指令
执行powershell脚本,指令
提权:
进行程序调试(如:privilege::debug)
某系统进程内存占有率异常增加.
权限维持:
SAM文件被访问
lsass.exe 进程被调试
某些端口被进程打开/转发
注册表被修改
账户信息有变动
横向渗透:
进行远程登录/命令执行
与域内主机的通信流量增加
smb流量增加
后渗透
日志丢失
0×02 蓝队排查流程作为蓝队,应该以怎样的思路判断自己的主机已经沦陷了呢?
以下为总结的一些常规操作:
着重分析一下这些操作的具体方法:
注册表排查 # 开机自启 HKCU:SoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce # winrm后门 HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem # Logon Scripts后门 HKCUEnvironment # 服务项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 安全配置排查 # 检查防火墙策略 netsh firewall show config # 检查端口,进程连招 netstat -ano | findstr "[port]" tasklist | findstr "[pid]" # 检查系统安装的补丁 systeminfo
# Applocker应用控制策略检查,查看是否对敏感目录使用了适当的规则 Applocker用于限制某些目录下应用程序,脚本等的执行。 # 打开方式 运行->secpol.msc
防御Applocker绕过
常见的绕过方式有Regsv***.exe绕过 和 msxsl.exe执行脚本绕过
禁止这两个文件的使用即可