[2021]windows威胁猎捕 (二) huoji APT,威胁追踪,高级威胁,windows 2021-06-05 863 次浏览 0 次点赞 继上一篇 [[2021]windows威胁猎捕 (一)](https://key08.com/index.php/2021/05/30/1118.html "[2021]windows威胁猎捕 (一)") 后,本篇介绍如下内容: 1.BloodHound检测 2.office宏后门检测 3.注册表可疑字符串检测 4.RDPWrapp劫持 5.系统时间变化 ## 1.BloodHound检测 BloodHound是一个域渗透分析工具.BloodHound以用图与线的形式,将域内用户、计算机、组、Sessions、ACLs以及域内所有相关用户、组、计算机、登陆信息、访问控制策略之间的关系更直观的展现在Red Team面前进行更便捷的分析域内情况,更快速的在域内提升自己的权限。它也可以使Blue Team成员对己方网络系统进行更好的安全检测及保证域的安全性。 具体可看: https://www.freebuf.com/sectool/179002.html 特征: 别人扫你的时候,srvsvc、lsarpc、samr会有管道连接 检测: ETW ID为18的事件(pipe connect)和ETW ID为3的(network connect)事件中: > ipport:389 or ipport:636 and ipport:445 and filemod:srvsvc and filemod:lsass EventID-5145 and RelativeTargetName={srvcsvc or lsarpc or samr} <!--more--> ## 2.office宏后门检测 如果一个winword里面用到如下dll,则很有可能已经执行了恶意宏: > C:\Windows\System32\wbem\wmiutils.dll C:\Windows\System32\wbemcomn.dll C:\Windows\System32\wbem\wbemdisp.dll C:\Windows\System32\wbem\fastprox.dll 规则如下: > (process_name:winword.exe or process_name:excel.exe or process_name:powerpnt.exe) and modload:wmiutils.dll and modload: wbemcomn.dll and wbemdisp.dll and modload:fastprox.dll 如果宏用了COM对象而不直接用CMD,比如: > ShellWindows (ClsID = {9BA05972-F6A8-11CF-A442-00A0C90A8F39}) ShellBrowserWindow (ClsID = {c08afd90-f2a1-11d1-8455-00a0c91f3880})  启动后,则是explorer.exe启动了cmd.exe而不是winword本身 但如果用COM对象的话,有DCOMLaunch对象的svchost.exe会创建一个rundll32.exe,并且参数是ShellBrowserWindows:  因此检测规则如下: > process_name:rundll32.exe and (cmdline:*9BA05972\-F6A8\-11CF\-A442\-00A0C90A8F39* or cmdline:*c08afd90\-f2a1\-11d1\-8455\-00a0c91f3880*) and parent_name:svchost.exe ## 3.注册表可疑字符串检测 一些国外的APT的后门会用到注册表存放PE头、启动信息等避免被minifilter发现比如如下这个:  所以一定要扫一下注册表: 这是扫描规则: > reg query HKCU /s /d /f "javascript" & reg query HKCU /s /d /f "powershell" & reg query HKCU /s /d /f "wmic" & reg query HKCU /s /d /f "rundll32" & reg query HKCU /s /d /f "cmd.exe" & reg query HKCU /s /d /f "cscript" & reg query HKCU /s /d /f "wscript" & reg query HKCU /s /d /f "regsvr32" & reg query HKCU /s /d /f "mshta" & reg query HKCU /s /d /f "scrobj.dll" & reg query HKCU /s /d /f "bitsadmin" & reg query HKCU /s /d /f "certutil" & reg query HKCU /s /d /f "msiexec" & reg query HKCU /s /d /f "javaw.exe" ## 4.RDPWrapp劫持 RDPWrapp在windows并不是非常常见,一般来说服务器自己都带了一个RDP,为啥还用这个RDPWrapp.. 因此要注意尽量避免此软件的安装 > regmod: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\fSingleSessionPerUser regmod: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections ## 5.系统时间变化 ETW eventID 4616记录了系统时间变化 你能看到如下名字: 谁改的名字(一般是svhost.exe) NT AUTHORITY\LOCAL SERVICE -用户名 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 0
还不快抢沙发