首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

驱动人生安全事件分析

攻击特征 1.病毒会创建计划任务持续使用PowerShell.exe下载其他恶意程序。 2.病毒运行挖矿程序占用计算机资源,影响正常使用。 3.病毒运行木马程序用于自身持久化驻留和操控计算机。...m.ps1 PowerShell运行程序,此程序会调用Mimikatz脚本,进行本机用户和密码的抓取, 同时创建计划任务,每天固定时间点自动向XX.beahh.com发送http请求下载域名解析后服务器上的程序...文件中对I am the mxr report进行互斥体判断,打开互斥体,即mxr(门罗币挖矿)程序。...病毒拥有远控功能,运行本机的CUP型号,操作系统版本,MAC地址,ip地址,域用户名,显卡信息,挖矿线程,以及计算机参数传递给终端: 该脚本新增一个计划任务计划每天7:00运行 C:\windows...释放PowerShell脚本并执行,命令行参数为 ? 判断自身所在的路径,如果不是则拷贝自身到当前用户的缓存目录中再次启动: ?

2.8K20
您找到你想要的搜索结果了吗?
是的
没有找到

无惧坏档!幻兽帕鲁存档备份就用轻量对象存储

之后,前一步从轻量COS上下载的Saved文件夹复制到这里。 4.6 重新启动游戏进程。通过开始菜单搜索框内打开powershell运行下面的命令,重启游戏。...定时备份 4.1 通过【开始】菜单搜索 Task,打开任务计划程序】。 4.2 点击右侧边栏的【创建任务】,开始创建定时任务。 4.3 在创建任务的窗口,配置以下内容。...在【程序脚本】中输入 PowerShell,添加参数输入:-File 备份脚本(palbackup-win.ps1)所在的路径路径。 4. 完成以上设置,点击确认,创建定时任务。 5....点击任务计划程序(本地),可以在任务状态中跟踪任务执行记录。点击刷新按钮,可以实时刷新当前列表。 6. 单击【任务计划程序库】,可以查看当前已设置的定时任务。...之后,前一步从轻量COS上下载的Saved文件夹复制到这里。 5.6 重新启动游戏进程。通过开始菜单搜索框内打开powershell运行下面的命令,重启游戏。

22710

红队技巧-常规横向手法

,由于当前权限组策略设置等原因,该schtasks方法远程创建计划任务可能会报错拒绝访问:遇到这种情况,我们可以加上/u和/p参数分别设置高权限用户名和密码,如下: schtasks /create...命令如下: sc \\[主机名/IP] create [servicename] binpath= "[path]" #创建计划任务启动程序 sc \\WIN-ENS2VR5TR3N create...,允许管理员“配置WinRM并获取数据管理资源” 是基于WinRM脚本API,而这个api使我们使能够远程计算机执行WS-Management协议操作和获得数据。...在powershell中我们可以使用 get-CimInstance来列出本地COM程序列表 远程DCOM对象的实例表现如下: 客户端计算机远程计算机请求实例化由CLSID表示的对象。...此外,我们可以加载jscript.dllvbscript.dll来运行脚本本身。 限制: ScriptControl对象仅在32位版本中可用。

2K20

OFFENSIVE LATERAL MOVEMENT 横向移动(译文)

默认情况下,PsExec生成rundll32.exe进程以从中运行。它不会将DLL拖放到磁盘任何东西上,因此蓝队的角度来看,如果rundll32.exe在没有参数的情况下运行,则非常可疑。...的payload,因此使用内置WMIPowerShell.exe打开,这是OpSec问题,因为执行的是base64编码的负载。...SchTasks SchTasks是“计划任务”的缩写,它最初在端口135上运行,然后使用DCE / RPC进行通信,继续通过临时端口进行通信。...在Cobalt Strike中,使用wmic通常会遇到这种情况,解决方法是为该用户创建令牌,因此可以该主机传递凭据。...PsExec消除了双跳问题,因为与命令一起传递了凭据并生成了交互式登录会话(类型2),但是问题是ExecuteShellCommand方法仅允许四个参数,因此如果传递参数少于大于四个进入,它出错了。

4.1K10

无惧坏档!幻兽帕鲁存档备份就用轻量对象存储

之后,前一步从轻量COS上下载的Saved文件夹复制到这里。4.6 重新启动游戏进程。通过开始菜单搜索框内打开powershell运行下面的命令,重启游戏。...定时备份4.1 通过【开始】菜单搜索 Task,打开任务计划程序】。4.2 点击右侧边栏的【创建任务】,开始创建定时任务。4.3 在创建任务的窗口,配置以下内容。...在【程序脚本】中输入 PowerShell,添加参数输入:-File 备份脚本(palbackup-win.ps1)所在的路径路径。4.  完成以上设置,点击确认,创建定时任务。5.  ...点击任务计划程序(本地),可以在任务状态中跟踪任务执行记录。点击刷新按钮,可以实时刷新当前列表。6.  单击【任务计划程序库】,可以查看当前已设置的定时任务。...之后,前一步从轻量COS上下载的Saved文件夹复制到这里。5.6 重新启动游戏进程。通过开始菜单搜索框内打开powershell运行下面的命令,重启游戏。

27510

终端安全系列-计划任务详解

通过Windows计划任务,用户可以: 定时运行程序:在指定的日期和时间,自动运行特定的应用程序脚本命令行工具。...操作(Actions): 操作类型:你可以指定任务执行时要运行的操作类型,可以是一个程序脚本命令行工具。...操作设置:根据操作类型,你可以指定要运行的可执行文件脚本文件的路径,以及传递给该程序参数。 条件(Conditions): 开始条件:你可以设置任务只有在满足一定条件才开始执行。...Action: 代表计划任务的动作,用于设置计划任务要执行的操作,如运行程序、调用 PowerShell 脚本等。...这些配置信息包括任务的名称、触发器(例如时间触发器事件触发器)、执行操作(例如运行程序执行脚本)、重复规则等。

1.3K10

内网渗透测试:内网横向移动基础总结

也可以通过PTH的方法,散列值明文密码传递到目标机器中进行验证。...ID为1,在18:53:00执行shell.exe程序计划任务 等到时间到达18:53:00,目标主机上的木马程序shell.exe执行,攻击者主机上面的msfconsole上成功获得目标主机的meterpreter...最后,我们使用完计划任务后,还需要将该计划任务删除,以免被网管理员发现: at \\192.168.183.130 1 /delete // 1为计划任务的ID 除了就像上面那样利用计划任务执行木马程序获得主机权限外...但也有些时候,由于当前权限组策略设置等原因,该schtasks方法远程创建计划任务可能会报错拒绝访问: 遇到这种情况,我们可以加上/u和/p参数分别设置高权限用户名和密码,如下: schtasks /...计划任务成功运行后,执行如下命令强制删除该计划任务: schtasks /delete /s 192.168.183.130 /tn "backdoor" /f 除了就像上面那样利用计划任务执行木马程序获得主机权限外

3K10

windows权限维持大结局

通过组策略运行指定脚本添加隐藏用户 在“开始菜单”->“运行”中输入gpedit.msc打开组策略编辑器,在左边导航栏中选择“计算机配置”->“windows设置”->“脚本(启动/关机)”,双击其右边的...“启动”选项,打开“启动属性”窗口: 操作系统启动自动运行脚本,使用net user命令查看未发现hacker用户,但通过net user hacker查看该用户发现它确实存在: 但在本地安全策略中可看到...SharPersist 计划任务(schtasks.exe)(作业) schtasks.exe 用于在windows系统中指定任务计划,使其能在特定的事件日期执行程序脚本。...SCHTASKS /parameter [arguments] 描述: 允许管理员创建、删除、查询、更改、运行和中止本地远程系统上的计划任 务。参数列表: /Create 创建新计划任务。...查看 在svchost进程下成功创建了notepad进程 当使用指定账户创建运行计划任务,当前用户必须具有与之相对或者更高的权限 (使用管理员账户以ystem权限运行计划任务失败) 创建新服务(

2.3K40

ATT&CK框架:攻击者最常用的TOP7攻击技术及其检测策略

这包括监视shells命令(cmd.exe、powershell.exe)、Office应用程序、Web浏览器和Web服务处理程序中生成的wscript.execscript.exe。...执行的命令以命令行界面进程的当前权限级别运行,除非该命令进行进程调用,更改执行权限(例如计划任务)。 命令行界面发展至今,已经有大量的成熟工具可以使用。...此外,命令行界面是一个非常轻便的应用程序打开不会给硬件带来负担,因此打开起来更快。而且在基于GUI的应用程序上完成的所有任务,能够通过命令行界面更快地打开。...“注册表run key/启动文件夹”是实现持久化的关键动作 在注册表的“run keys”启动文件夹中添加一个条目,将会导致用户登录,该程序运行该条目。...还可以使用网络入侵检测系统和电子邮件网关筛选来识别压缩和加密的附件和脚本。某些电子邮件附件展示系统可以打开压缩和加密的附件。通过网站加密连接传递的有效载荷需要进行加密的网络流量检查。 7.

1.5K10

如何在 Windows 10上创建和运行批处理文件

你还可以使用 PowerShell 等其他工具编写更高级的脚本。然而,当你需要运行命令来改变设置、自动化例程、启动应用程序启动网站,使用带有命令提示符的批处理文件是一个方便的选择。...您可以使用“任务计划程序”创建任务,以按计划运行任务。或者您可以脚本放在“启动”文件夹中,以便每次登录到您的 Windows 10 帐户时运行它。...按计划运行批处理文件 要在 Windows 10上按计划执行一个批处理文件,你可以使用任务计划程序来完成以下步骤: 点击开始搜索框 搜索任务计划程序,然后点击顶部搜索结果打开应用程序 右键单击任务计划程序库分支并选择新文件夹选项...使用天上下拉菜单来确认任务运行的天。 点击下一步按钮 选择 启动程序 选项以运行批处理文件。 在程序脚本字段中,单击 浏览 按钮 选择您创建的批处理文件,点击下一步按钮。...启动时运行批处理文件 如果你希望每次登录到 Windows 10 帐户执行一系列命令,你可以脚本放在启动文件夹中以保存额外的步骤,而不是使用任务计划程序

26K40

通过计划任务实现持续性攻击

Windows操作系统中提供了一个实用工具schtasks.exe,系统管理可以使用该工具完成在指定日期和时间执行程序脚本的工作。但是目前这个工具经常被黑客或者红队利用,从而实现持续性攻击。...Payload既可以磁盘上执行,也可以远程位置下载执行,这些Payload可以是可执行文件、PowerShell脚本或者scriptlets形式。...图*-* SharPersist–新计划任务(登录触发) 在下一次登录系统执行payload并打开MeterMeter会话。...图*-* 使用SharPersist列出的计划任务信息 与Metasploit框架功能类似,SharPersist中也具有检查目标是否易受攻击的功能,SharPersist提供了一个运行检查,这个功能可用于通过检查名称和提供的参数来验证计划任务...图*-* 使用SharPersist列出的Backdoor 计划任务列表 “Add”参数用来隐藏一个现有的计划任务,该任务执行恶意命令,而不是执行合法的操作。

1.1K30

windows UAC 浅谈及绕过

Powershell武器化我们的脚本 现在开始我们实现自动化,我们创建一个powershell脚本,也是使用反射加载。...win + r打开运行命令,输入 taskschd.msc 找到刚刚添加的计划任务,然后右键打开,选择属性 ?...如果选择此选项,则在对系统进行更改时(例如安装软件程序对Windows设置进行直接更改时),它将始终通知您。当显示UAC提示符,其他任务将被冻结,直到您响应为止。...只有当程序试图更改我的计算机时才通知我 此设置类似于第一个设置。它将在安装软件程序时发出通知,并冻结所有其他任务,直到响应提示为止。但是,当您试图修改对系统的更改时,它不会通知您。...UAC的默认设置是 只有当程序试图更改我的计算机时才通知我,如果你UAC设置为始终通知,则某些攻击技术会无效化。 这种技术的另一个好处就是不以管理员的身份运行

4.9K20

2.Powershell基础入门学习必备语法介绍

参数PowerShell 显示该 cmdlet 的帮助。 Get-Service -? 3.通用参数: 参数PowerShell 引擎控制, 通用参数的行为方式始终相同。...-Examples # 4.获取有关脚本和函数的帮助 Get-Help c:\ps-test\TestScript.ps1 # 但是在运行 Get-Help * 不会显示函数和脚本的帮助 # 5...Bypass: 没有任何阻止也没有警告提示;此执行策略设计用于PowerShell脚本内置到更大的应用程序中的配置,或者用于以PowerShell为具有自己的安全模型的程序的基础的配置。...动态参数 在某些情况下添加到 PS cmdlet、函数脚本的一个参数。 Cmdlet、函数、提供程序脚本可以添加动态参数。...脚本模块文件具有 .psm1 文件扩展名。 shell 用于命令传递到操作系统的命令解释器。 开关参数 一个不带实参的形参。 终止错误 阻止 PS 处理命令的错误。

4.9K10

如何在Windows 10上安装Python 3并设置本地编程环境

当您看到选项,右键单击桌面应用程序“Windows PowerShell”。出于我们的目的,我们选择“以管理员身份运行”。当系统提示您提示“是否要允许此应用程序对您的PC进行更改?”...RemoteSigned允许您运行受信任的发布者签名的Internet下载的脚本和配置文件,如果这些受信任的脚本实际上是恶意的,则再次打开您的计算机漏洞。...一旦您确认您了解该文件是Internet下载的,Unrestricted运行Internet下载的所有脚本和配置文件。...在这种情况下,不需要数字签名,因此您可能会打开机器,冒着运行Internet下载的未签名和潜在恶意脚本的风险。...这会将脚本传递给iexor Invoke-Expressioncmdlet,cmdlet执行脚本的内容,运行Chocolatey包管理器的安装脚本

2.4K00

进攻性横向移动

它首先创建一个 PowerShell 脚本,该脚本将对嵌入式有效负载进行 base64 编码,该有效负载内存运行并压缩为单线,连接到 ADMIN$ C$ 共享并运行 PowerShell 命令,如下所示...它不会将 DLL 放到磁盘任何东西上,所以蓝队的角度来看,如果 rundll32.exe 在没有参数的情况下运行,这是非常可疑的。 SC 服务控制器正是它听起来的样子——它控制服务。...有效负载,因此 PowerShell.exe 将在使用 WMI 内置打开,这是一个 OpSec 问题,因为执行的是 base64 编码的有效负载。...MSBuild 用于通过提供架构的 XML 文件编译/构建 C# 应用程序攻击者的角度来看,这用于编译 C# 代码以生成恶意二进制文件或有效负载,甚至直接 XML 文件运行有效负载。...PsExec 消除了双跳问题,因为凭据与命令一起传递并生成交互式登录会话(类型 2),但是问题在于 ExecuteShellCommand 方法只允许四个参数,因此如果传递参数少于多于四个在,它出错了

2.1K10

通过Windows事件日志介绍APT-Hunter

该工具将用于加快Windows日志分析的速度,但永远不会取代深度日志分析。 收集日志:用户可以手动收集CSV和EVTX格式的日志,也可以使用本文后面讨论的powershell脚本自动提取所需的日志。...如何使用APT-Hunter 要做的第一件事是收集日志,使用powershell日志收集器可以轻松地自动收集所需的日志,而您只需以管理员身份运行powershell脚本即可。...-o:输出生成项目的名称 -t:日志类型(如果是CSVEVTX) 剩余的参数,如果您想分析单一类型的日志。...运行脚本 [T1218.005]检测到系统中正在运行的Mshta [T1053]检测计划任务操作 [T1047]使用WMI远程运行命令 [T1082]系统信息发现 [T1117]使用Regsvr32绕过应用程序白名单...使用安全日志检测系统审核策略更改 使用安全日志检测计划任务创建 使用安全日志检测计划任务删除 使用安全日志检测计划任务更新 使用安全日志检测启用的计划任务 使用安全日志检测禁用的计划任务 检测Windows

1.4K20

神兵利器 - APT-Hunter 威胁猎人日志分析工具

这个工具将用于加速windows日志分析,但永远不会取代深度日志分析。 收集日志:用户可以手动收集CSV和EVTX格式的日志,或者使用本文后面讨论的powershell脚本来自动提取所需的日志。...powershell脚本即可。...APT-Hunter检测到的事件 [T1086]使用sysmon日志检测带有可疑参数Powershell [T1543]检测操作Windows服务的Sc.exe [T1059]检测wscriptcscript...运行脚本 [T1218.005]检测到系统中正在运行的Mshta [T1053]检测计划任务操作 [T1047]使用WMI远程运行命令 [T1082]系统信息发现 [T1117]使用Regsvr32绕过应用程序白名单...使用安全日志检测系统审核策略更改 使用安全日志检测计划任务创建 使用安全日志检测计划任务删除 使用安全日志检测计划任务更新 使用安全日志检测启用的计划任务 使用安全日志检测禁用的计划任务 检测Windows

1.6K10

新版本 Redline 使用 Lua 字节码逃避检测

这种方式可以恶意攻击进行混淆,避免安全软件检测到好识别的脚本文件(如 wscript、JScript PowerShell 脚本),进一步增强了攻击的规避能力。...操作行为 安装过程中,msiexec.exe 会创建一个计划任务来执行 compiler.exe,并将 readme.txt 作为参数。...进程创建 为此还会创建另一个计划任务程序不带任何参数启动 C:\Windows\system32\oobe\Setup.exe。...反编译 调试过程如下所示: 调试信息 通过数据值传递给两个函数来填充 var_0_19,调试可以发现 base64 编码的值存储在 var_0_19 中。...调试信息 获取 table 的值并使用浮点算术指令对其进行处理: 调试信息 使用 memmove 函数字节源缓冲区移动到目标缓冲区。

8910
领券