[2021]windows威胁猎捕 (一) huoji windows威胁猎捕,ETW 2021-05-30 1255 次浏览 0 次点赞 开一个新坑,介绍老外那边在windows上的一些常用威胁猎捕方法.当然这是一个长篇,每部分打算介绍五种威胁的检测方案。 本篇将介绍如何检测到如下威胁 1. RDP链接 2. PsLoggedOn 3. PsExec 4. DDE活动的Office文档 5. net.exe # RDP链接 远程桌面嘛,很多很多攻击者最喜欢的目标之一。保不齐就爆破了呢。请注意 很少有安全软件能正确区分正常rdp活动和非法rdp链接活动.此外如果他们依靠 [微软ETW的4624事件](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624 "微软ETW的4624事件") 去检测可疑活动的话,在某些特定情况下,记录会在目标主机上而不在DC上,因此很可能没有从所有工作站和服务器上漏日志导致不生成警报. 此外攻击者可能会通过webshell之类的修改、查询你的RDP端口.所幸这些都能在ETW里看得到 ETW检测方案: ```cpp EventID=13 and EventMessage contains "LastLoggedOn" or "dontdisplaylastusername" or "RDP-tcp\PortNumber" ``` # PsLoggedOn PsLoggedOn是一个小程序, 它既显示本地登录的用户,又显示通过本地计算机或远程计算机登录的用户.如果您指定用户名而不是计算机,则PsLoggedOn会搜索网络邻居中的计算机,并告诉该用户当前是否登录。 说白了,psloggedon是一个显示目前谁登陆的机器的命令。 黑客很可能会用PsLoggedOn检测内网或者自己谁登陆了 特征: > 远程注册表访问(winreg、并且是通过IPC$访问的 ![](https://key08.com/usr/uploads/2021/05/2183146891.png) NetSessionEnum API访问(srvsvc、并且是通过IPC$访问的) ETW检测方案(5145事件): 一分钟内出现2次频繁的RelativeTargetName为winreg、srvsvc 并且同一IP所谓。那你就要小心内网横向移动问题了 ## PsExec psexec是代替telnet的东西,内网横向移动也是很喜欢用到的这个东西的,并且很多检测psexce服务启动的安全工具是可以被绕过的,最简单的例子: > psexec -r spoolsvr 服务名就变成了spoolsvr,导致安全工具不知道是什么服务,更别说识别psexec了 特征: ETW中5145事件,PSEXEC会出现如下特征符号: > stdin、stdout、stderr ETW检测方案: ```cpp [EventID=5145 and TargetFileName contains *-stdin or *-stdout or *-stderr] [EventID=5145 and not TargetFileName contains *psexecsvc*) and TargetFileName contains *-stdin or *-stdout or *-stderr] ->这说明有人恶意给psexecsvc改服务名,绝对要引起注意 ``` ## DDE活动的Office文档 除了宏文件之外,DDE(动态数据交换)也被用于在office文件里面执行任意代码。 具体就不细说了,因为网上关于此类攻击手法已经有很详细的介绍了. 检测方案: ETW事件300中,会有记录(叫做Microsoft Office Alerts),甚至是看得到命令: ![](https://key08.com/usr/uploads/2021/05/4267050669.png) ![](https://key08.com/usr/uploads/2021/05/3628048113.png) 直接寻找此类记录即可 ## net.exe net.exe 可用于枚举本地和域用户和组,一般这一步就说明主机沦陷了攻击者都执行whoami了准备枚举管理员了 检测方案: ETW 事件4661: SourceUserName、ObjectType、ObjectName 即可知道谁用了net.exe枚举了用户组 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 0
还不快抢沙发