引言
在内网攻防演练与红蓝对抗中,权限维持(Persistence) 往往是决定胜负的关键手。它不仅仅是"留后门",而是在目标网络的防御体系内构建抗重启、抗清理、高隐蔽 的生存体系。随着EDR(终端检测与响应)、HIDS(主机入侵检测)及零信任架构的普及,传统的"文件落地型"后门已逐渐失效。现代权限维持技术正向无文件化、协议层寄生、跨平台覆盖三个维度演进。本文将体系化梳理Windows/Linux单机与域环境下的主流技术,并结合实战案例拆解其底层逻辑。
一、单机环境权限维持:全平台寄生与对抗
单机环境的防御核心在于识别"异常文件"与"异常进程"。因此,现代单机权限维持的核心思路是:消除独立恶意特征,寄生在系统原生流程中。
1. Windows环境:从启动项到内存寄生
(1)基础启动类(入门级)
这类方法直接利用系统自带的启动触发机制,操作简单但易被巡检发现:
-
启动文件夹/注册表Run键 :将免杀处理后的远控马命名为
WinUpdateHelper.exe,放入%AppData%\Microsoft\Windows\Start Menu\Programs\Startup(用户级)或注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(系统级)。 -
计划任务与服务 :通过
schtasks创建伪装成系统更新的任务(如MicrosoftEdgeUpdate),设置为用户登录时执行,或直接注册为系统服务,劫持合法服务的二进制路径。
(2)高阶隐蔽维持(实战核心)
为绕过EDR的行为检测,攻击者更倾向于利用系统原生组件的"合法触发逻辑",以下是三类主流技术:
-
WMI永久事件订阅(无文件天花板)
-
原理:通过WMI注册系统启动、用户登录等事件的监听器,触发后直接拉取内存载荷执行,全程无文件落地、不产生独立恶意进程。
-
实战案例 :攻击者注册一个名为
WindowsSystemHealth的WMI事件过滤器,触发条件设为"系统启动后300秒",绑定动作调用powershell.exe从内存执行加密脚本。蓝队常规进程排查(如任务管理器)无法发现,需通过wmic eventfilter list full等专用命令检测。
-
-
映像劫持(IFEO)与COM组件劫持
-
IFEO :修改注册表
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下calc.exe的Debugger键值,指向恶意程序。管理员打开计算器时,实际执行后门。 -
COM劫持:篡改系统COM组件的注册表指向恶意DLL,当合法程序(如记事本)调用该组件时自动触发后门,隐蔽性极强。
-
-
辅助功能后门
- 替换粘滞键
sethc.exe为cmd.exe,远程桌面连接时连按5次Shift即可弹出SYSTEM权限命令行;高阶玩法可修改Winlogon登录过程的注册表项,用户登录时自动触发无文件后门。
- 替换粘滞键
2. Linux环境:系统服务与定时任务
Linux环境的权限维持更依赖系统原生的服务与调度机制,核心目标是伪装成合法系统进程:
-
Systemd服务持久化
- 在
/etc/systemd/system/下创建名为networkd-wait.service的服务文件,伪装成网络等待服务,设置Restart=always确保进程崩溃后自动重启,执行路径指向恶意脚本。
- 在
-
Crontab定时任务
- 通过
crontab -e添加@reboot /usr/bin/sshd -p 2222(重启时启动隐藏SSH端口),或伪装成日志轮转任务(/etc/cron.daily/logrotate)执行恶意代码。
- 通过
-
Shell配置文件后门
- 修改
~/.bashrc或/etc/profile,在用户登录时执行export PATH=/usr/local/sbin:$PATH && /usr/bin/update-check &,将恶意脚本混入环境变量加载流程。
- 修改
二、域环境权限维持:掌控身份认证与信任链
域环境(Active Directory, AD)的权限维持价值远高于单机------只要控制认证逻辑,即可掌控全网。核心思路是利用Kerberos协议缺陷、域对象属性及组策略机制,实现抗清理的长期权限。
1. 票据类维持(核心手段)
基于Kerberos协议的票据伪造是当前域权限维持的主流,分为三类:
-
黄金票据(Golden Ticket)
-
原理 :利用域控
krbtgt账户的NTLM/AES哈希,伪造全域可信的TGT(票据授予票据),相当于"万能通行证"。 -
实战案例 :攻击者拿下域控后导出
krbtgt哈希,离线生成有效期10年的黄金票据,注入本地会话后无需账号密码即可访问域内任意资源(如域控C盘、修改所有用户权限)。即使域管理员修改所有账号密码,只要krbtgt哈希不变,票据依然有效。
-
-
白银票据(Silver Ticket)
- 伪造特定服务(如CIFS文件共享、RDP)的服务票据,权限限于指定服务,且无需与域控通信,隐蔽性更高,适合长期维持对关键服务器的访问。
-
蓝宝石/钻石票据(2025年后新兴技术)
- 不直接伪造TGT,而是获取合法TGT后修改其中的PAC(特权属性证书)部分,插入高权限组SID。由于票据本身由域控合法签发,仅PAC被篡改,比传统黄金/白银票据更难被Kerberos日志审计发现。
2. 域对象/属性类维持(高隐蔽抗清理)
这类方法修改域本身的配置,即使域控重启、常规后门清理也不易失效:
-
SID History后门
- 给普通域用户添加高权限SID(如域管理员组SID
S-1-5-21-...-512)到SIDHistory属性,用户登录时自动继承域管权限。即使从管理员组移除、修改密码,只要SIDHistory未被清理,权限依然存在。
- 给普通域用户添加高权限SID(如域管理员组SID
-
AdminSDHolder ACL后门
- 修改域
CN=AdminSDHolder,CN=System容器的ACL,添加特定普通用户的完全控制权限。域的SDProp进程每60分钟运行时会将所有受保护高权限对象(域管、企业管等)的ACL同步为AdminSDHolder的配置,相当于自动"复活"后门------手动移除后1小时内会自动恢复。
- 修改域
-
Skeleton Key(万能密码)
- 将恶意代码注入域控的
lsass.exe进程,设置全域通用的"万能密码"。任何域用户输入该密码即可获得对应账号权限(包括域管),重启域控前持续有效。
- 将恶意代码注入域控的
3. 组策略与委派类维持(全网级影响)
-
GPO(组策略对象)后门
- 创建全局生效的GPO,配置启动/登录脚本、注册表项,推送给域内所有机器。即使单台主机清理后门,下次组策略刷新(默认90分钟)时又会重新植入,适合需要对全网持久控制的场景。
-
资源委派后门
- 给可控服务账户配置到
krbtgt服务的基于资源的约束性委派,可控账户即可申请到KDC的ST(服务票据),进而伪造任意用户的TGT,相当于变相的黄金票据,且日志特征更隐蔽。
- 给可控服务账户配置到
三、现代防御体系:从单点检测到体系化对抗
权限维持技术的演进倒逼防御体系升级,当前主流防御思路可分为三层:
| 防御层级 | 核心措施 | 针对技术 |
|---|---|---|
| 预防层 | 启用LSA保护(防止lsass.exe内存dump)、定期重置krbtgt密码(每180天)、限制普通用户本地登录权限 |
黄金票据、Skeleton Key |
| 检测层 | 监控WMI事件订阅变更、审计AdminSDHolder ACL修改、启用Kerberos PAC校验日志 | WMI后门、SID History后门 |
| 响应层 | EDR行为分析(识别异常进程父子关系)、组策略刷新频率监控(默认90分钟,异常缩短需告警) | GPO后门、计划任务 |
⚠️ 合规警示
本文内容仅用于合法授权的网络安全测试、企业内部攻防演练、安全研究学习场景,所有技术、案例均需在获得资产所有者明确书面授权的前提下使用。未经授权对他人的内网、信息系统实施权限维持、植入后门等行为,违反《中华人民共和国网络安全法》《中华人民共和国刑法》等相关法律法规,需承担民事、行政乃至刑事责任。请严格遵守法律红线,将技术能力用于合法合规的安全防护目的,共同维护网络空间安全秩序。