横向移动检测之远程执行—服务
1.1 介绍
在横向移动过程,攻击者可能会利用windows服务功能,在远程主机将恶意程序配置为服务并运行,从而实现远程执行的目的。在Windows平台,主要使用sc命令对远程服务进行配置,sc命令的基本格式如下:
sc \host create servicename binpath= “c:\temp\evil.exe”
sc \host start servicename
通过对源和目的的事件日志,注册表,文件系统进行分析,可以获得源主机运行程序sc的时间,运行次数等信息,从目的主机可以获得配置恶意服务的源IP,服务名称,服务可执行文件,服务创建时间,创建服务的用户等信息。
环境
通过服务,在远程主机192.168.49.144远程执行C:\windows\temp\\evil.exe。
- 源:192.168.49.155
- 目的:192.168.49.144
在创建服务前须在远程主机有管理员权限,可通过如下命令实现:
net use \\192.168.49.144\ADMIN$ /user:victim <password>
然后在远程主机远程创建服务,注意值和等号之间有个空格:
sc \\192.168.49.144 create test1 binpath= "C:\windows\temp\evil.exe"
启动服务:
sc \\192.168.49.144 start test1
如果出现如下报错:
在注册表中添加如下项并重启:
测试过程自己安装的程序无法作为服务启动,所以以系统服务WlanSvc为例进行演示:
1.2 服务 - 源
1.2.2 注册表
- ShimCache
Windows Application Compatibility(兼容性) Database,被Windows用来识别可执行程序可能面临的兼容性。ShimCache会记录可执行文件的名称,文件大小,最后的修改时间,及在Windows XP中的最后更新时间。在Win7/8/10中,位于SYSTEM\CurrentControlSet\Control\Session Ma