,则执行以下代码:
ProcessStart(opt.processStart,opt.processStartArgs,opt.shouldWait);
使用以下开关–processStart和--process-start-args...将这两个参数传递给Update.exe .您可以看到是否列出了Squirrel用法,令人惊讶的是,帮助菜单没有列出这些奇妙的参数,通常这是我们进入某个领域的好兆头.
?...最初,当观察到这一发现时,发现它仍然可以用作横向移动的技术,但是,发现通过指向远程SMB共享可以轻松绕开添加的限制.
0x04合法事件:
%localappdata%\Microsoft\Teams\...利用EDR解决方案,并查看“ update.exe”命令行中的可疑连接.寻找squirrel.exe可执行文件并调查文件的大小,您可以使用该文件来区分特洛伊木马和合法的squirrel.exe
如果您正在与...禁用任何类型的更新机制,并设置仅由IT团队推送更新的策略
文章原文地址:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/