开发者社区> 玄学酱> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

被黑客们滥用的Windows命令

简介: 本文讲的是被黑客们滥用的Windows命令,在Windows操作系统中,默认情况下安装了各种命令(以下称为“Windows命令”)。然而,一般用户实际使用的只是它的一小部分。
+关注继续查看
本文讲的是被黑客们滥用的Windows命令在Windows操作系统中,默认情况下安装了各种命令(以下称为“Windows命令”)。然而,一般用户实际使用的只是它的一小部分。另一方面,JPCERT/CC观察到入侵网络的攻击者也使用Windows命令来收集信息或在网络中传播恶意软件进行感染。这里值得注意的是一般用户和攻击者使用的那些Window命令之间的差距。如果存在巨大差异,则可以通过监视或控制Windows命令执行来检测或限制攻击者的行为。

本文将演示如何通过显示攻击者在入侵的Windows操作系统上使用的Windows命令以及通过限制对一般用户不必要的那些命令的执行来减轻攻击影响。

用于远程控制的恶意软件(远程访问工具/特洛伊木马-RAT)具有从远程环境执行shell命令的功能。这样,攻击者可以从远程环境执行Windows命令。

在网络中成功安装这样的恶意软件的攻击者将尝试按照以下顺序控制网络内的系统,以便收集机密信息等。

初步调查:收集受感染机器的信息
侦察:查找保存在机器和网络中的远程计算机上的信息
感染蔓延:用其他恶意软件感染机器或尝试访问其他机器

在上述所有阶段都会使用Windows命令。下面介绍在每个阶段中使用的各个Windows命令。

初步调查

表1列出了攻击者经常使用的命令,用于尝试收集受感染机器的信息。 “执行次数”是从各个C&C服务器中的3个不同攻击组使用的Windows命令的总和(有关详细信息,请参阅附录A,B和C)。

被黑客们滥用的Windows命令

表1:初步调查(命令Top10)

侦察

表2中所示的命令通常用于搜索网络中的机密信息和远程机器。

被黑客们滥用的Windows命令

表2:侦察(命令Top10)

*”wmic” 相关的命令也常被用于信息侦察。

攻击者使用“dir”和“type”搜索文件。有时,他们通过为“dir”命令设置适当的选项和参数来收集受感染机器中的所有文档文件的列表。

对于搜索网络环境信息,会使用“net”相关命令。特别是能经常看到以下命令:

net view:获取可连接的域资源列表
net user:管理本地/域帐户
net localgroup:获取属于本地组的用户列表
net group:获取属于某些域组的用户列表
net use:访问资源

此外,以下命令可以在使用Active Directory的环境中使用(请参阅附录A中的表5)。这些命令都安装在Windows Server中,在客户端操作系统,如Windows 7和8.1原先是不存在的—但攻击者会下载并安装这些命令并执行它们。

dsquery:搜索Active Directory中的帐户
csvde:在Active Directory中获取帐户信息

感染传播

要侵入远程计算机并在网络中传播恶意软件进行感染,攻击者通常会执行以下命令:

被黑客们滥用的Windows命令

*”wmic” 相关的命令也常被用于信息侦察。

“at”和“wmic”命令通常用于在远程计算机上执行恶意软件。

使用“at”命令,攻击者可以通过注册计划任务以便在可连接的计算机上执行文件,从而在远程计算机上执行命令,如下所示。

at \\[remote host name or IP address] 12:00 cmd /c "C:\windows\temp\mal.exe"

此外,通过使用“wmic”命令设置以下选项和参数,攻击者可以在远程计算机上执行命令。

wmic /node:[IP address] /user:”[user name]” /password:”[password]” process call create “cmd /c c:\Windows\System32\net.exe user”

限制不必要的Windows命令的执行

可以公平地说,攻击者使用的这些Windows命令也包括一般用户不经常使用的那些命令。 有了AppLocker和软件限制策略,就可以限制这些命令的执行,也可以限制攻击者的行为。 例如,如果您想限制“net”命令,您可以设置如图1所示的规则。(有关AppLocker配置的详细信息,请参阅Microsoft网站[1])。

被黑客们滥用的Windows命令

此外,通过启用AppLocker,所选择的Windows命令被执行或尝试运行但被拒绝的事件将记录在事件日志中,可用于调查攻击者在用恶意软件感染机器后执行的Windows命令。

被黑客们滥用的Windows命令

AppLocker也可以只监视Windows命令[2]。 因此,AppLocker无法阻止意外的Windows命令被执行,但执行历史记录将被记录在事件日志中。 如果用户自己使用可用于攻击的Windows命令,最好将AppLocker设置为监视目的。(也可以通过激活本地安全策略中的“审核进程创建”来监视Windows命令执行。)

结论

在有针对性的攻击中,攻击者不仅使用恶意软件中实现的功能,而且还经常使用Windows命令来达到其目的。 如果这种活动可能受到阻碍,可以在相当早的阶段防止事件的传播。 但是,你可能很难立即限制Windows命令的使用 — 因此我们的建议是通过使用AppLocker等收集已执行进程的日志。

参考:

[1] Microsoft – Windows AppLocker

[2] Microsoft – 使用审查模式跟踪所使用的应用程序

附录A:各攻击组(攻击组A)执行命令列表

表4:初始调查(攻击组A)

被黑客们滥用的Windows命令

Table 4: Initial Investigation (Attack Group A)

被黑客们滥用的Windows命令

Table 5: Reconnaissance (Attack Group A)

被黑客们滥用的Windows命令

Table 6: Spread of Infection (Attack Group A)

表7:初始调查(攻击组B)
附录B:各攻击组执行命令列表(攻击组B)

被黑客们滥用的Windows命令

Table 7: Initial Investigation (Attack Group B)

被黑客们滥用的Windows命令

Table 8: Reconnaissance (Attack Group B)

被黑客们滥用的Windows命令

Table 9: Spread of Infection (Attack Group B)

表10:初始调查(攻击组C)
附录C:各攻击组执行命令列表(攻击组C)

被黑客们滥用的Windows命令

Table 10: Initial Investigation (Attack Group C)

被黑客们滥用的Windows命令

Table 11: Reconnaissance (Attack Group C)

*攻击组C的“感染传播”命令将被省略,因为它们没有传播感染。




原文发布时间为:2017年2月25日
本文作者:丝绸之路 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
【镜像更新】Windows Server 2019 数据中心版
信息摘要: Windows Server 2019 数据中心版镜像更新适用客户: 使用Windows Server的用户版本/规格功能: 镜像ID: win2019_64_dtc_1809_zh-cn_40G_alibase_20190318.
4671 0
Windows Server 2016 配置指南 之 IIS10 下创建虚拟机
已经搭建好了服务器环境,接下来就是绑定域名做网站了。这里介绍一下,IIS10 下如何创建虚拟主机。
7024 0
Windows Server 2016 配置指南 之 IIS10 环境安装篇
一、打开 `开始菜单` —— `服务器管理器` —— `管理` —— `添加角色和功能`
30772 0
Windows server2003配置ftp服务
版权声明:欢迎转载,请注明沉默王二原创。 https://blog.csdn.net/qing_gee/article/details/45010139 前言:如果你已经非常清楚的掌握了Windows server 2003的安全机制,那么你可以通过开启Windows自带的ftp服务进行使用,不过很多情况下,这不安全,但是我会告诉你方法,这需要你的Windows安装目录下有对应的ftp安装包。
704 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
20683
文章
438
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载