首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

恶意软件分析:xHunt活动又使用了新型后门

我们在分析服务器日志时,发现了两个由攻击者创建计划任务,这两个任务都会运行恶意PowerShell脚本。...攻击者使用这两个调度任务作为持久性方法,因为计划任务会反复运行这两个PowerShell脚本,不过运行时间间隔不同。下图显示是这两个任务及其相关创建时间、运行间隔和执行命令。...但是,我们知道攻击者在其他系统安装Snugy样本时,攻击者使用是批处理脚本来创建名为SystemDataProvider和CacheTask计划任务。...比如说,下面的批处理脚本创建并运行名为SystemDataProvider计划任务,并最终运行名为xpsrchvw.ps1Snugy样本: schtasks /create /sc MINUTE...下图显示一封包含演示命令邮件,主题为555,邮件内容为woFyeWt3cw==,该脚本通过PowerShell执行: 为了运行攻击者提供命令,PowerShell脚本需要登录到Exchange服务器合法电子邮件帐户

2.2K10

利用AutoSPSourceBuilder和Autospinstaller自动安装SharePoint Server 2013图解教程——Part 1

解压后文件夹内包含两个文件:AutoSPSourceBuilder.ps1为我们需要运行PowerShell 脚本(用于下载资源),而AutoSPSourceBuilder.xml中则包含了需要下载资源链接...根据上面代码,加载在我E:盘中SharePoint 2013解压到C:\SP\2013\SharePoint。...而Prerequisites将被下载到:$Destination\SharePoint\PrerequisiteInstallerFiles,即 C:\SP\2013\SharePoint\PrerequisiteInstallerFiles...当然,你也可以缺省一些参数,使用默认参数也是可以,以我安装SharePoint 2013 Server为例,安装之前运行如下PowerShell: ?...后续 当然你也可以,将其他更新文件放入对应文件夹中,利用AutoSPInstaller.ps1安装SharePoint 2013时,会自动去这些文件夹中安装相关文件。 ?

2K50
您找到你想要的搜索结果了吗?
是的
没有找到

威胁行为者利用企业滥用微软Office 365某功能,对企业发起勒索攻击

威胁行为者要加密SharePoint和OneDrive文件前提条件是破坏Office 365 帐户,这很容易通过网络钓鱼或恶意OAuth应用程序完成。...劫持帐户后,攻击者可以使用Microsoft API和PowerShell脚本自动对大型文档列表执行恶意操作。...要更快地完成文件锁定并使恢复变得更困难,威胁行为者会通过减少版本编号限制并加密所有超过该限制文件。此任务不需要管理权限,可以任何被劫持帐户完成。...研究人员举例说,对手可以文件版本数减少到“1”,并对数据进行两次加密。由于文件版本限制设置为“1”,当攻击者对文件进行两次加密或编辑时,原始文档无法通过OneDrive获得,也无法恢复。...另一种方法是使用自动脚本编辑文件501次,这超过了OneDrive存储文件版本最大500次限制。虽然这种方法更张扬,可能会触发一些警报,但它仍然是一种有效方法。

91010

SharePoint自动化部署,利用SPSD工具包

这篇介绍简单介绍一下SPSD工具包(因为官网已经有非常详细讲解),接着是附录了一些常用PowerShell脚本,用于我在部署时候快速导入css、js、images、设置MasterPage、创建权限组...SharePoint Solution Deployer(SPSD)能快速帮助程序员部署WSP,使用SPSD也是非常简单,首先下载最新工具:http://spsd.codeplex.com/。...怎样使用SPSD 对于一般部署,基本什么都不用改,直接WSP拖入Solutions文件夹即可。 下载最新SPSD,解压,然后解锁,如下: ?...附录四:创建Group ,并将人员加入Group,最后分配权限到指定Web(关键代码)  创建SharePoint Group ? 调用方法人员加入组 ?...为组分配权限并添加到相关WebSite中 ? 小结 SharePoint部署是件麻烦事,身边常备一些常用PowerShell可以提高部署效率。

1.1K90

Window权限维持之BITS Jobs利用

0x01:过程 攻击角度来看,可以滥用此功能,以便在受感染主机上下载有效负载(可执行文件PowerShell脚本,Scriptlet等)并在给定时间执行这些文件,以在红色团队操作中保持持久性...执行以下命令会将恶意有效负载远程位置下载到本地目录。...Bitsadmin –文件传输 还有一个PowerShell cmdlet可以执行相同任务。...BitsTrasfer –传输文件PowerShell 文件放入磁盘后,可以通过从“ bitsadmin ”实用程序执行以下命令来实现持久性。...持久性—BITS Jobs 当作业在系统运行时,有效负载将被执行,Meterpreter会话打开,或者通信将被接收回命令和控制(取决于场合中使用C2)。 ?

1.4K20

微软OneDrive网盘免费升级到25T容量教程

申请需知 支持升级到OneDrive 25T订阅如下: Office 365 企业版 E3 Office 365 企业版 E5 OneDrive for Business 计划 2 SharePoint...对于已使用25 TB OneDrive存储空间至少90%任何用户,向各个用户分配25TB SharePoint团队网站作为额外云存储空间。此额外存储空间以额度方式提供给组织。...这里估计有人会觉得复制粘贴很慢,其实要是网络好的话,随便上传个几十M文件复制粘贴,十几分钟就可以做到0到4.5T。 然后管理员登录后台→传送门,点击左侧支持-新建服务请求。...提示:如果用PowerShell操作失败,可以使用SharePoint Online Management Shell操作。...,后面的地址改成你要修改OneDrive网盘地址,地址仿照下面的即可 Set-SPOSite -Identity https://moerats-my.sharepoint.com/personal

17.9K00

无惧坏档!幻兽帕鲁存档备份就用轻量对象存储

之后,前一步从轻量COS上下载Saved文件夹复制到这里。 4.6 重新启动游戏进程。通过开始菜单或搜索框内打开powershell,运行下面的命令,重启游戏。...3.6 登陆轻量云控制台,进入存储桶备份目录,发现文件已经成功备份到轻量COS。 4. 定时备份 4.1 通过【开始】菜单搜索 Task,打开【任务计划程序】。...在【程序脚本】中输入 PowerShell,添加参数输入:-File 备份脚本(palbackup-win.ps1)所在路径路径。 4. 完成以上设置,点击确认,创建定时任务。 5....点击任务计划程序(本地),可以在任务状态中跟踪任务执行记录。点击刷新按钮,可以实时刷新当前列表。 6. 单击【任务计划程序库】,可以查看当前已设置定时任务。...在弹窗中选择【复制带签名临时链接】,复制下面的URL。 5.3 进入windows服务器,URL粘贴到浏览器中,直接备份文件载到服务器。 5.4 解压缩备份文件,复制 Saved文件夹。

22710

PowerShell系列(一):PowerShell介绍和cmd命令行区别

3、PowerShell优点 ● 整体界面更加美观大方易用 ● 命令参数自动补全,大大提升了代码编写效率 ● powershell属于自然语言,可读性高,比较容易理解和学习 ● 可以轻松地自动化任务脚本编写...● 支持多种编程语言,包括 C#、VB.NET 和 PowerShell,可以快速编写和重用现有的代码。 ● 能够安全地执行命令和脚本,保障系统和数据安全性。...官方文档:https://learn.microsoft.com/zh-cn/powershell/ 4、PowerShell使用场景 PowerShell是一种Windows操作系统命令行脚本语言,...也可以编写成脚本文件,用途非常广泛。...简单介绍如下: ● 广泛应用于Windows服务器、企业管理、自动化脚本开发等领域。 ● 可以帮助管理员进行系统配置、文件操作、程序管理、网络管理、安全设置等任务

1.3K121

深度剖析众多Azure管理工具

它可被用于执行各种任务,其中包括以命令行提示方式进行交互,以及通过脚本程序进行自动任务执行。...使用Azure PowerShell主要优点就是,用户可通过使用PowerShell脚本程序自动重复执行Azure任务。 Azure PowerShell强健如Unix shell。...开始学习Azure PowerShell一个好方法就是使用这些cmdlet。微软公司还在其脚本程序中心维护着一个Azure脚本程序库。...虽然PowerShell cmdlet只能在Windows操作系统运行,但是xplat-cli则允许非windows虚拟管理员在其它不同操作系统使用Azure资源,其中包括:Linux、Windows...如果你是一名Office 365用户或者如果你已订阅了微软在线服务,那么你就可以下载这个工具并开始管理和配置Exchange Online、SharePoint以及Office应用程序权限管理功能。

1.7K70

内网渗透横向移动之使用AnyDesk远程控制

使用一些提权powershell脚本脚本弹出了一个新cmd窗口,但是数据不通过cs,只能通过远程桌面操作,但是不能直接RDP 然后我们可以通过命令让目标下载anydesk powershell (...,所以最好是找到域用户有写权限文件夹 可以看到我们已经文件下载了下来(由于是模拟环境就随便点,真实环境下别下载到桌面) ?...然后四个文件保存下来,然后上传到目标的主机,上传完后把此处配置文件全部删除,目的是让anydesk生成一个新配置 由于我们还没有在目标主机打开过anydesk,所以要自己新建一个AnyDesk文件夹...,然后文件复制进去 ?...,可以使用计划任务执行,如果要使用计划任务,首先要知道当前用户是谁 powershell "(((Get-WmiObject -Class Win32_Process -Filter 'Name=\"explorer.exe

2.9K30

驱动人生安全事件分析

攻击特征 1.病毒会创建计划任务持续使用PowerShell.exe下载其他恶意程序。 2.病毒运行挖矿程序占用计算机资源,影响正常使用。 3.病毒运行木马程序用于自身持久化驻留和操控计算机。...运行程序,此程序会调用Mimikatz脚本,进行本机用户和密码抓取, 同时创建计划任务,每天固定时间点自动向XX.beahh.com发送http请求下载域名解析后服务器程序,并以HTA(内含微软某...病毒拥有远控功能,运行后本机CUP型号,操作系统版本,MAC地址,ip地址,域用户名,显卡信息,挖矿线程,以及计算机参数传递给终端: 该脚本新增一个计划任务计划每天7:00运行 C:\windows...释放powershell脚本文件并执行mimikatz模块,运行mimi操作后,释放了另一个配置文件 ? mkatz.ini文件中为抓取到用户密码hash值 ?...计划任务 以system账户创建计划任务,查找并删除名称为“Autocheck”、“Autostart”、“escan”计划任务: ?

2.8K20

11.反恶意软件扫描接口 (AMSI)

Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准,可以集成在应用程序和服务与机器存在任何反恶意软件产品中。可以增强杀毒软件查杀能力。...) JavaScript 和 VBScript Office VBA 宏 AMSI主要是针对无文件落地攻击,比如 powershell文件攻击、VBScript脚本,对脚本进行扫描。...AMSI一些可能失效地方比如:WMI名字空间、注册表、事件日志等非常规位置加载脚本、不用 powershell.exe 执行(可用网络策略服务器之类工具) PowerShell 脚本等。...当脚本准备好提供给脚本引擎时,应用程序可以调用 Windows AMSI API 来请求对内容进行扫描。这样,就可以在决定继续执行之前安全地确定脚本是否是恶意。 即使脚本是在运行时生成,也是如此。...创建 PowerShell 进程后,AMSI.DLL 将从磁盘加载到其地址空间。 在 AMSI.DLL 中,有一个称为 AmsiScanBuffer() 函数,本质是用于扫描脚本内容函数。

4.2K20

揭秘APT团体常用秘密武器——AsyncRAT

阶段 02 - PowerShell Amazon S3 存储桶下载文件是一个 PowerShell 脚本。它首先在 C:\ProgramData中创建一个名为 Not文件夹。...【链式执行】 最后一个 PowerShell 脚本中包含两个 PE 文件: 【PowerShell 脚本】 第一个文件名为 RunPE,第二个文件用于 AsyncRAT 注入到合法进程中。...【运行命令】 PowerShell 脚本 RunPE 直接加载到内存中,因此所有 PE 文件都不会落地。...【RunPE 文件信息】 后续由 PowerShell 脚本 RunPE 加载到内存中,调用 Execute方法。...【AsyncRAT 反分析】 样本还通过注册表与计划任务来实现持久化。 【持久化机制】 AsyncRAT C&C 地址和端口存储在其配置中,还提供了 Pastebin 下载获取配置选项。

1.6K30

无惧坏档!幻兽帕鲁存档备份就用轻量对象存储

之后,前一步从轻量COS上下载Saved文件夹复制到这里。4.6 重新启动游戏进程。通过开始菜单或搜索框内打开powershell,运行下面的命令,重启游戏。...3.6 登陆轻量云控制台,进入存储桶备份目录,发现文件已经成功备份到轻量COS。4. 定时备份4.1 通过【开始】菜单搜索 Task,打开【任务计划程序】。...在【程序脚本】中输入 PowerShell,添加参数输入:-File 备份脚本(palbackup-win.ps1)所在路径路径。4.  完成以上设置,点击确认,创建定时任务。5.  ...点击任务计划程序(本地),可以在任务状态中跟踪任务执行记录。点击刷新按钮,可以实时刷新当前列表。6.  单击【任务计划程序库】,可以查看当前已设置定时任务。...在弹窗中选择【复制带签名临时链接】,复制下面的URL。5.3 进入windows服务器,URL粘贴到浏览器中,直接备份文件载到服务器。5.4 解压缩备份文件,复制 Saved文件夹。

27610

1.Powershell基础入门介绍与安装升级

[TOC] 0x00 PS 基础介绍 描述: PowerShell 之父 Jeffrey Snover在加入微软之前是搞Linux, PowerShell 是构建于 .NET 基于任务命令行 shell...答: PS脚本语言与LinuxShell有一致之处, 虽然现在服务器基本都采用Linux,但是针对于某些数据库安装环境也还必须是Windows或者是在线上应用无法迁移到Linux,而Windows...具有一致接口工具有助于控制固有的复杂性 一致性 : 管理系统是一项复杂任务,具有一致接口工具有助于控制固有的复杂性 交互式脚本编写环境: Windows 命令提示符提供了一个可访问命令行工具和基本脚本交互式....zip 在安装过程中创建注册表项: 描述: PowerShell 7.1 开始,MSI 包创建用于存储 PowerShell 安装位置和版本注册表项。...* 启用 PowerShell 脚本:可便于 PowerShell 命令输入和输出捕获到基于文本脚本中。

7K20

ATT&CK框架:攻击者最常用TOP7攻击技术及其检测策略

这包括监视shells命令(cmd.exe、powershell.exe)、Office应用程序、Web浏览器和Web服务处理程序中生成wscript.exe或cscript.exe。...命令行界面可以通过远程桌面应用程序、反弹Shell会话等在本地或远程进行交互。执行命令以命令行界面进程的当前权限级别运行,除非该命令进行进程调用,更改执行权限(例如计划任务)。...而且在基于GUI应用程序完成所有任务,能够通过命令行界面更快地打开。 针对这类攻击,可以通过使用命令行参数正确记录进行执行情况来捕获命令行界面活动。...一旦发现了在野使用特定恶意软件变体,便会提取出该恶意软件独特功能,并用于在未来感染中对其进行检测和识别。通过网络边界或下载到主机每条数据与这些签名进行比较。...想要检测混淆文件或者信息,除非在混淆过程留下了可以检测到独特伪像,否则很难检测文件混淆。如果无法检测,则可以去检测执行混淆文件恶意活动(例如,用于在文件系统写入、读取或修改文件方法)。

1.5K10

Powershell基础入门与实例初识

[TOC] 0x00 前言简介 微软官网:PowerShell 是构建于 .NET 基于任务命令行 shell 和脚本语言。...,可以以交互方式键入命令轻松转换为创建和运行脚本 PowerShell版本: Windows PowerShell: Windows 7 SP1 和 Windows Server 2008 R2...:在任何 cmdlet 指定 -? 参数时,PowerShell 显示该 cmdlet 帮助。 Get-Service -?...主机应用程序 PS 引擎加载到其进程中并使用它执行操作程序。 输入处理方法 Cmdlet 可用于处理其以输入形式所接收记录一种方法。...PS数据文件 具有 .psd1 文件扩展名文本文件。 PS 数据文件用于多种用途,例如存储模块清单数据和存储用于脚本国际化已翻译字符串。 PS驱动器 一个提供直接访问数据存储虚拟驱动器。

4.2K20

PowerShell系列(五):PowerShell通过脚本方式运行笔记

一篇文章讲解了Powershell通过交互环境运行命令相关知识,今天给大家介绍实际工作当中使用最频繁方式——通过脚本运行,简单来说就是和咱们实际编写代码一样,先编写代码,然后通过开发工具执行。...同样为了实现PowerShell脚本保存、方面在别的服务器迁移,一般都是先编写脚本,然后通过脚本文件执行完成相应运维任务。...命令格式:PowerShell  ps1脚本文件完整路径4、通过Windows计划任务执行PowerShell脚本PowerShell 脚本默认无法执行,需要先修改 PowerShell 执行策略(ExecutionPolicy...首先打开Windows任务计划程序创建一个计划任务打开创建计划任务常规选项卡,然后输入名称和描述,具体如下图:切换到触发器选项卡,设置每五分钟执行一次。...3、  脚本编写效率大大提高。交互执行方式会存在脚本思维跳跃。不利于脚本整体逻辑把控。4、  定时任务实现。通过脚本方式可以很方便脚本文件周期重复性执行,这样就达到了定时任务目的。

76941
领券