攻击特征 1.病毒会创建计划任务持续使用PowerShell.exe下载其他恶意程序。 2.病毒运行挖矿程序占用计算机资源,影响正常使用。 3.病毒运行木马程序用于自身持久化驻留和操控计算机。...m.ps1 PowerShell运行程序,此程序会调用Mimikatz脚本,进行本机用户和密码的抓取, 同时创建计划任务,每天固定时间点自动向XX.beahh.com发送http请求下载域名解析后服务器上的程序...文件中对I am the mxr report进行互斥体判断,打开互斥体,即mxr(门罗币挖矿)程序。...病毒拥有远控功能,运行后将本机的CUP型号,操作系统版本,MAC地址,ip地址,域用户名,显卡信息,挖矿线程,以及计算机参数传递给终端: 该脚本新增一个计划任务,计划每天7:00运行 C:\windows...释放PowerShell脚本并执行,命令行参数为 ? 判断自身所在的路径,如果不是则拷贝自身到当前用户的缓存目录中再次启动: ?
),使系统管理员能够在特定的日期和时间执行程序或脚本。...有效负载可以从磁盘或远程位置执行,它们可以是可执行文件、powershell脚本或scriptlet的形式。...命令提示符--持久性计划任务 当用户再次使用系统登录时,将执行有效负载,并打开meterpreter会话。 ?...查询计划任务 当用户管理员注销时,将创建事件ID,并在下次登录时执行有效负载。 ?...SharPersist –新计划任务登录 在系统的下一次重新引导中,有效负载将执行,并且Meterpreter会话将打开。 ?
之后,将前一步从轻量COS上下载的Saved文件夹复制到这里。 4.6 重新启动游戏进程。通过开始菜单或搜索框内打开powershell,运行下面的命令,重启游戏。...定时备份 4.1 通过【开始】菜单搜索 Task,打开【任务计划程序】。 4.2 点击右侧边栏的【创建任务】,开始创建定时任务。 4.3 在创建任务的窗口,配置以下内容。...在【程序或脚本】中输入 PowerShell,添加参数输入:-File 备份脚本(palbackup-win.ps1)所在的路径路径。 4. 完成以上设置,点击确认,创建定时任务。 5....点击任务计划程序(本地),可以在任务状态中跟踪任务执行记录。点击刷新按钮,可以实时刷新当前列表。 6. 单击【任务计划程序库】,可以查看当前已设置的定时任务。...之后,将前一步从轻量COS上下载的Saved文件夹复制到这里。 5.6 重新启动游戏进程。通过开始菜单或搜索框内打开powershell,运行下面的命令,重启游戏。
,由于当前权限或组策略设置等原因,该schtasks方法远程创建计划任务可能会报错拒绝访问:遇到这种情况,我们可以加上/u和/p参数分别设置高权限用户名和密码,如下: schtasks /create...命令如下: sc \\[主机名/IP] create [servicename] binpath= "[path]" #创建计划任务启动程序 sc \\WIN-ENS2VR5TR3N create...,允许管理员“配置WinRM并获取数据或管理资源” 是基于WinRM脚本API,而这个api使我们使能够从远程计算机执行WS-Management协议操作和获得数据。...在powershell中我们可以使用 get-CimInstance来列出本地COM程序列表 远程DCOM对象的实例表现如下: 客户端计算机从远程计算机请求实例化由CLSID表示的对象。...此外,我们可以将加载jscript.dll或vbscript.dll来运行脚本本身。 限制: ScriptControl对象仅在32位版本中可用。
默认情况下,PsExec将生成rundll32.exe进程以从中运行。它不会将DLL拖放到磁盘或任何东西上,因此从蓝队的角度来看,如果rundll32.exe在没有参数的情况下运行,则非常可疑。...的payload,因此使用内置WMI时PowerShell.exe将打开,这是OpSec问题,因为执行的是base64编码的负载。...SchTasks SchTasks是“计划任务”的缩写,它最初在端口135上运行,然后使用DCE / RPC进行通信,继续通过临时端口进行通信。...在Cobalt Strike中,使用wmic时通常会遇到这种情况,解决方法是为该用户创建令牌,因此可以从该主机传递凭据。...PsExec消除了双跳问题,因为与命令一起传递了凭据并生成了交互式登录会话(类型2),但是问题是ExecuteShellCommand方法仅允许四个参数,因此如果传递的参数少于或大于四个进入,它出错了。
之后,将前一步从轻量COS上下载的Saved文件夹复制到这里。4.6 重新启动游戏进程。通过开始菜单或搜索框内打开powershell,运行下面的命令,重启游戏。...定时备份4.1 通过【开始】菜单搜索 Task,打开【任务计划程序】。4.2 点击右侧边栏的【创建任务】,开始创建定时任务。4.3 在创建任务的窗口,配置以下内容。...在【程序或脚本】中输入 PowerShell,添加参数输入:-File 备份脚本(palbackup-win.ps1)所在的路径路径。4. 完成以上设置,点击确认,创建定时任务。5. ...点击任务计划程序(本地),可以在任务状态中跟踪任务执行记录。点击刷新按钮,可以实时刷新当前列表。6. 单击【任务计划程序库】,可以查看当前已设置的定时任务。...之后,将前一步从轻量COS上下载的Saved文件夹复制到这里。5.6 重新启动游戏进程。通过开始菜单或搜索框内打开powershell,运行下面的命令,重启游戏。
通过Windows计划任务,用户可以: 定时运行程序:在指定的日期和时间,自动运行特定的应用程序、脚本或命令行工具。...操作(Actions): 操作类型:你可以指定任务执行时要运行的操作类型,可以是一个程序、脚本或命令行工具。...操作设置:根据操作类型,你可以指定要运行的可执行文件或脚本文件的路径,以及传递给该程序的参数。 条件(Conditions): 开始条件:你可以设置任务只有在满足一定条件时才开始执行。...Action: 代表计划任务的动作,用于设置计划任务要执行的操作,如运行程序、调用 PowerShell 脚本等。...这些配置信息包括任务的名称、触发器(例如时间触发器或事件触发器)、执行操作(例如运行程序或执行脚本)、重复规则等。
也可以通过PTH的方法,将散列值或明文密码传递到目标机器中进行验证。...ID为1,在18:53:00执行shell.exe程序的计划任务 等到时间到达18:53:00时,目标主机上的木马程序shell.exe执行,攻击者主机上面的msfconsole上成功获得目标主机的meterpreter...最后,我们使用完计划任务后,还需要将该计划任务删除,以免被网管理员发现: at \\192.168.183.130 1 /delete // 1为计划任务的ID 除了就像上面那样利用计划任务执行木马程序获得主机权限外...但也有些时候,由于当前权限或组策略设置等原因,该schtasks方法远程创建计划任务可能会报错拒绝访问: 遇到这种情况,我们可以加上/u和/p参数分别设置高权限用户名和密码,如下: schtasks /...计划任务成功运行后,执行如下命令强制删除该计划任务: schtasks /delete /s 192.168.183.130 /tn "backdoor" /f 除了就像上面那样利用计划任务执行木马程序获得主机权限外
通过组策略运行指定脚本添加隐藏用户 在“开始菜单”->“运行”中输入gpedit.msc打开组策略编辑器,在左边导航栏中选择“计算机配置”->“windows设置”->“脚本(启动/关机)”,双击其右边的...“启动”选项,打开“启动属性”窗口: 操作系统启动时自动运行该脚本,使用net user命令查看未发现hacker用户,但通过net user hacker查看该用户时发现它确实存在: 但在本地安全策略中可看到...SharPersist 计划任务(schtasks.exe)(作业) schtasks.exe 用于在windows系统中指定任务计划,使其能在特定的事件日期执行程序和脚本。...SCHTASKS /parameter [arguments] 描述: 允许管理员创建、删除、查询、更改、运行和中止本地或远程系统上的计划任 务。参数列表: /Create 创建新计划任务。...查看 在svchost进程下成功创建了notepad进程 当使用指定账户创建运行计划任务时,当前用户必须具有与之相对或者更高的权限 (使用管理员账户以ystem权限运行计划任务失败) 创建新服务(
这包括监视从shells命令(cmd.exe、powershell.exe)、Office应用程序、Web浏览器和Web服务处理程序中生成的wscript.exe或cscript.exe。...执行的命令以命令行界面进程的当前权限级别运行,除非该命令进行进程调用,更改执行权限(例如计划任务)。 命令行界面发展至今,已经有大量的成熟工具可以使用。...此外,命令行界面是一个非常轻便的应用程序,打开时不会给硬件带来负担,因此打开起来更快。而且在基于GUI的应用程序上完成的所有任务,能够通过命令行界面更快地打开。...“注册表run key/启动文件夹”是实现持久化的关键动作 在注册表的“run keys”或启动文件夹中添加一个条目,将会导致用户登录时,该程序会运行该条目。...还可以使用网络入侵检测系统和电子邮件网关筛选来识别压缩和加密的附件和脚本。某些电子邮件附件展示系统可以打开压缩和加密的附件。通过网站从加密连接传递的有效载荷需要进行加密的网络流量检查。 7.
你还可以使用 PowerShell 等其他工具编写更高级的脚本。然而,当你需要运行命令来改变设置、自动化例程、启动应用程序或启动网站时,使用带有命令提示符的批处理文件是一个方便的选择。...您可以使用“任务计划程序”创建任务,以按计划运行该任务。或者您可以将脚本放在“启动”文件夹中,以便每次登录到您的 Windows 10 帐户时运行它。...按计划运行批处理文件 要在 Windows 10上按计划执行一个批处理文件,你可以使用任务计划程序来完成以下步骤: 点击开始搜索框 搜索任务计划程序,然后点击顶部搜索结果打开应用程序 右键单击任务计划程序库分支并选择新文件夹选项...使用天或上下拉菜单来确认任务将运行的天。 点击下一步按钮 选择 启动程序 选项以运行批处理文件。 在程序或脚本字段中,单击 浏览 按钮 选择您创建的批处理文件,点击下一步按钮。...启动时运行批处理文件 如果你希望每次登录到 Windows 10 帐户时执行一系列命令,你可以将脚本放在启动文件夹中以保存额外的步骤,而不是使用任务计划程序。
/teamserver ip 密码 //后台运行,关闭终端依旧运行 注意:cs默认监听端口为50050,可以打开teamserver文件,修改端口 ....打开监听器→Add→添加一个监听器。 3.生成后门文件,并将生成的后门文件在对应客户端运行即可上线。...并且支持Powershell脚本,用于将Stageless Payload注入内存。 复制 4.远控进行vnc,文件管理,进程查看等一系列操作。...执行命令 powershell 通过powershell.exe执行命令 powershell-import 导入powershell脚本...PowerShell命令 pth 使用Mimikatz进行传递哈希 pwd 当前目录位置
Windows操作系统中提供了一个实用工具schtasks.exe,系统管理可以使用该工具完成在指定日期和时间执行程序或脚本的工作。但是目前这个工具经常被黑客或者红队利用,从而实现持续性攻击。...Payload既可以从磁盘上执行,也可以从远程位置下载执行,这些Payload可以是可执行文件、PowerShell脚本或者scriptlets形式。...图*-* SharPersist–新计划任务(登录时触发) 在下一次登录系统时,将执行payload并打开MeterMeter会话。...图*-* 使用SharPersist列出的计划任务信息 与Metasploit框架功能类似,SharPersist中也具有检查目标是否易受攻击的功能,SharPersist提供了一个运行检查,这个功能可用于通过检查名称和提供的参数来验证计划任务...图*-* 使用SharPersist列出的Backdoor 计划任务列表 “Add”参数用来隐藏一个现有的计划任务,该任务将执行恶意命令,而不是执行合法的操作。
Powershell武器化我们的脚本 现在开始我们实现自动化,我们创建一个powershell脚本,也是使用反射加载。...win + r打开运行命令,输入 taskschd.msc 找到刚刚添加的计划任务,然后右键打开,选择属性 ?...如果选择此选项,则在对系统进行更改时(例如安装软件程序或对Windows设置进行直接更改时),它将始终通知您。当显示UAC提示符时,其他任务将被冻结,直到您响应为止。...只有当程序试图更改我的计算机时才通知我 此设置类似于第一个设置。它将在安装软件程序时发出通知,并冻结所有其他任务,直到响应提示为止。但是,当您试图修改对系统的更改时,它不会通知您。...UAC的默认设置是 只有当程序试图更改我的计算机时才通知我,如果你将UAC设置为始终通知,则某些攻击技术会无效化。 这种技术的另一个好处就是不以管理员的身份运行。
参数时,PowerShell 将显示该 cmdlet 的帮助。 Get-Service -? 3.通用参数: 参数由 PowerShell 引擎控制, 通用参数的行为方式始终相同。...-Examples # 4.获取有关脚本和函数的帮助 Get-Help c:\ps-test\TestScript.ps1 # 但是在运行 Get-Help * 时不会显示函数和脚本的帮助 # 5...Bypass: 没有任何阻止也没有警告或提示;此执行策略设计用于将PowerShell脚本内置到更大的应用程序中的配置,或者用于以PowerShell为具有自己的安全模型的程序的基础的配置。...动态参数 在某些情况下添加到 PS cmdlet、函数或脚本的一个参数。 Cmdlet、函数、提供程序和脚本可以添加动态参数。...脚本模块文件具有 .psm1 文件扩展名。 shell 用于将命令传递到操作系统的命令解释器。 开关参数 一个不带实参的形参。 终止错误 阻止 PS 处理命令的错误。
当您看到选项时,右键单击桌面应用程序“Windows PowerShell”。出于我们的目的,我们将选择“以管理员身份运行”。当系统提示您提示“是否要允许此应用程序对您的PC进行更改?”...RemoteSigned将允许您运行从受信任的发布者签名的Internet下载的脚本和配置文件,如果这些受信任的脚本实际上是恶意的,则再次打开您的计算机漏洞。...一旦您确认您了解该文件是从Internet下载的,Unrestricted将运行从Internet下载的所有脚本和配置文件。...在这种情况下,不需要数字签名,因此您可能会打开机器,冒着运行从Internet下载的未签名和潜在恶意脚本的风险。...这会将脚本传递给iexor Invoke-Expressioncmdlet,cmdlet将执行脚本的内容,运行Chocolatey包管理器的安装脚本。
它首先创建一个 PowerShell 脚本,该脚本将对嵌入式有效负载进行 base64 编码,该有效负载从内存运行并压缩为单线,连接到 ADMIN$ 或 C$ 共享并运行 PowerShell 命令,如下所示...它不会将 DLL 放到磁盘或任何东西上,所以从蓝队的角度来看,如果 rundll32.exe 在没有参数的情况下运行,这是非常可疑的。 SC 服务控制器正是它听起来的样子——它控制服务。...有效负载,因此 PowerShell.exe 将在使用 WMI 内置时打开,这是一个 OpSec 问题,因为执行的是 base64 编码的有效负载。...MSBuild 用于通过提供架构的 XML 文件编译/构建 C# 应用程序。从攻击者的角度来看,这用于编译 C# 代码以生成恶意二进制文件或有效负载,甚至直接从 XML 文件运行有效负载。...PsExec 消除了双跳问题,因为凭据与命令一起传递并生成交互式登录会话(类型 2),但是问题在于 ExecuteShellCommand 方法只允许四个参数,因此如果传递的参数少于或多于四个在,它出错了
该工具将用于加快Windows日志分析的速度,但永远不会取代深度日志分析。 收集日志:用户可以手动收集CSV和EVTX格式的日志,也可以使用本文后面讨论的powershell脚本自动提取所需的日志。...如何使用APT-Hunter 要做的第一件事是收集日志,使用powershell日志收集器可以轻松地自动收集所需的日志,而您只需以管理员身份运行powershell脚本即可。...-o:输出生成项目的名称 -t:日志类型(如果是CSV或EVTX) 剩余的参数,如果您想分析单一类型的日志。...运行脚本 [T1218.005]检测到系统中正在运行的Mshta [T1053]检测计划任务操作 [T1047]使用WMI远程运行命令 [T1082]系统信息发现 [T1117]使用Regsvr32绕过应用程序白名单...使用安全日志检测系统审核策略更改 使用安全日志检测计划的任务创建 使用安全日志检测计划的任务删除 使用安全日志检测计划的任务更新 使用安全日志检测启用的计划任务 使用安全日志检测禁用的计划任务 检测Windows
这个工具将用于加速windows日志分析,但永远不会取代深度日志分析。 收集日志:用户可以手动收集CSV和EVTX格式的日志,或者使用本文后面讨论的powershell脚本来自动提取所需的日志。...powershell脚本即可。...APT-Hunter检测到的事件 [T1086]使用sysmon日志检测带有可疑参数的Powershell [T1543]检测操作Windows服务的Sc.exe [T1059]检测wscript或cscript...运行脚本 [T1218.005]检测到系统中正在运行的Mshta [T1053]检测计划任务操作 [T1047]使用WMI远程运行命令 [T1082]系统信息发现 [T1117]使用Regsvr32绕过应用程序白名单...使用安全日志检测系统审核策略更改 使用安全日志检测计划的任务创建 使用安全日志检测计划的任务删除 使用安全日志检测计划的任务更新 使用安全日志检测启用的计划任务 使用安全日志检测禁用的计划任务 检测Windows
这种方式可以将恶意攻击进行混淆,避免安全软件检测到好识别的脚本文件(如 wscript、JScript 或 PowerShell 脚本),进一步增强了攻击的规避能力。...操作行为 安装过程中,msiexec.exe 会创建一个计划任务来执行 compiler.exe,并将 readme.txt 作为参数。...进程创建 为此还会创建另一个计划任务,程序不带任何参数启动 C:\Windows\system32\oobe\Setup.exe。...反编译 调试过程如下所示: 调试信息 通过将数据值传递给两个函数来填充 var_0_19,调试时可以发现 base64 编码的值存储在 var_0_19 中。...调试信息 获取 table 的值并使用浮点算术或异或指令对其进行处理: 调试信息 使用 memmove 函数将字节从源缓冲区移动到目标缓冲区。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
