检测并移除WMI持久化后门

已于 2022-04-04 23:48:42 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: 内网渗透 域渗透 文章标签: 安全
于 2020-05-05 12:33:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41082546/article/details/105930843
版权

WMI型后门只能由具有管理员权限的用户运行。WMI后门通常使用powershell编写的,可以直接从新的WMI属性中读取和执行后门代码,给代码加密。通过这种方式攻击者会在系统中安装一个持久性的后门,且不会在磁盘中留下任何文件。

  WMI型后门主要有两个特征:无文件和无进程。其基本原理是:将代码加密存储在WMI中,达到所谓的无文件;当设定的条件满足时,系统将自动启动powershell进程去执行后门程序,当后门程序执行后进程就会消失。

检查WMI后门,CommandLineTemplate的内容就是程序要执行的命令。

Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='Updater'"

清除WMI后门的常用方法有:

1.删除自动运行列表中的恶意WMI条目。

2.在powershell中使用Get-WMIObject命令删除与WMI持久化相关的组件。

WMI后门检测

# Reviewing WMI Subscriptions using Get-WMIObject

# Event Filter

Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name='Updater'"

# Event Consumer

Get-WMIObject -Namespace roo

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Micr067
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Windows常见的持久后门汇总1
08-03
以上技术只是Windows系统中持久后门的一部分,实际中攻击者可能组合多种技术以增加检测难度。了解和掌握这些方法对于防御者来说至关重要,以便于及时发现和消除潜在威胁。同时,对于攻击者而言,理解这些技术能...
渗透测试实战之WMI持久记录
anquanzushiye的博客
02-01 1561
0x00 背景WMI(Windows Management Instrumentation,Windows 管理规范)是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本...
Windows安全基础——Windows WMI详解
最新发布
qq_53058639的博客
04-20 1100
WMI(Windows Management Instrumentation, Windows管理规范)是Windows2000/XP管理系统的核心,属于管理数据和操作的基础模块。设计WMI的初衷是达到一种通用性,通过WMI操作系统、应用程序等来管理本地或者远程资源。它支持分布式组件对象模型(DCOM,DistributionModel)和Windows远程管理(WinRM),用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能。
内网渗透----常见后门
浅笑996的博客
05-31 1214
0x01.综合利用手法 1.Smbrelay smbrelayx.py 由于此手法是中间件攻击,需要关闭SMB的签名措施,Windows Server默认开启,其他系统默认关闭,使用 nmap扫描一下未开启签名的机器: nmap -sT -p 445 --open --script smb-security-mode.nse,smb-os-discovery.nse 192.168.91.0/24...
WMI 订阅利用之分析总结
ZL_1618的博客
08-03 275
WMI(Windows Management Instrumentation,Windows 管理规范)是一项核心的 Windows 管理技术。用户可以通过WMI 管理本地和远程计算机。Windows 为远程传输 WMI 数据提供了两个可用的协议,即分布式组件对象模型(Distributed ComponentObject Model,DCOM)和 Windows 远程管理(Windows Remote Management,WinRM),使得 WMI
后渗透测试神器Empire的详解
热门推荐
Fly_鹏程万里
06-04 1万+
1. Empire简介官网介绍如下:Empire is a pure PowerShell post-exploitation agent built on cryptologically-secure communications and a flexible architecture. Empire implements the ability to run PowerShell agents...
利用WMI实现系统补丁检测分析
09-06
WMI系统补丁检测分析 WMI(Windows Management Instrumentation)是一种系统管理架构,提供了一个统一的、基于标准的、可扩展的面向对象接口。它以CIMOM(Common Information Model Object Manager)为基础,提供了...
USB检测除|UsbEject
01-03
2. **USB设备检测**:在Windows操作系统中,可以通过注册表、WMI(Windows Management Instrumentation)或.NET Framework提供的API来检测USB设备的插入和拔出。开发者可以监听设备事件,当有USB设备连接或断开时,...
python使用WMI检测windows系统信息、硬盘信息、网卡信息的方法
09-22
最后,我们可以在主程序中调用这些函数来获取并打印所有信息: ```python if __name__ == "__main__": os = platform.system() if os == "Windows": get_system_info(os) get_memory_info(os) get_disk_info(os...
利用WMI打造完美三无后门(scrcons.exe)
穷途末路
10-16 9719
ASEC是WMI中的一个标准永久事件消费者。它的作用是当与其绑定的一个事件到达时,可以执行一段预先设定好的JS/VBS脚本
WMI_Backdoor:在Black Hat 2015上展示的PoC WMI后门
05-16
WMI_Backdoor 在Black Hat 2015上展示的PoC WMI后门
wmi后门的简单实验
ailx10
10-22 235
一晃一天过去了,操作系统后门的实验也接近尾声了,感谢大家一路的支持。失败不是悲剧,放弃才是。加油,白帽子黑客~ailx10:第一个windows后门(粘滞键后门) ailx10:「后渗透测试」神器Empire入门 ailx10:「计划任务后门」问题出在哪? ailx10:注册表注入后门的简单实验 本实验基于上一个实验,如果发现运行的时候,提示上下文不对那基本上就是权限不够,需要提权是的,wmi后门...
常见的几种Windows后门持久方式
qq284489030的博客
05-09 2025
0×0 背景 持久后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门(脚本、进程、连接之类),来方便他以后持久性的入侵,简单梳理一下日常遇见windows用的比较多的一些持久方式方便以后排查问题使用。 0×1 注册表自启动 最常见的在指定键值添加一个新的键值类型为REG_SZ,数据项中添写需要运行程序的路径即可以启动,此类操作一些较为敏感容易被本地AV...
权限维持简单总结
Aiwin的博客
08-17 4019
权限维持简单总结
windows常见后门隐藏和权限维持方法及排查技术
3569
04-24 6591
https://xz.aliyun.com/t/4842 这片文章中隐藏webshell我觉得很nice ... 进程注入以前试过 ... wmi 和 bitsadmin 可以了解下 ... 常见backdoor和persistence方式方法 系统工具替换后门 Image 劫持辅助工具管理器 REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\...
WMI利用(权限维持)
Ping_Pig的博客
11-09 1061
讲在前面:     在简单了解了WMI后,我们开始了横向动,包括其中的信息收集,工具利用。那么在我们短暂的获取权限后,如何才能将权限持久,也就是所说的权限维持住呢?笔者看了国内外部分文章后,发现WMI做权限维持主要是介绍WMI事件,并将其分为永久事件和临时事件,本文参考部分博客文章对WMI事件进行讲解,不足之处,望及时指出。 什么是WMI事件     WMI事件,即特定对象的属性发生改变时发出的通知,其中包括增加、修改、删除
WMI Attacks
citelao的博客
03-21 773
WMI Attacks 三好学生 · 2015/08/24 10:19 0x00 前言 Matt Graeber在Blackhat中介绍了如何使用WMI并展示其攻击效果,但细节有所保留,所以这一次具体介绍如何通过powershell来实现WMI attacks。 0x01 说明 WMI在内网渗透中最常见的是wmiexec 之前在http://drops.wooyun.
wmi 库编写循环usb拔插检测
07-20
您可以使用 WMI (Windows Management Instrumentation) 库来编写循环检测 USB 设备的插拔情况。以下是一个示例代码,可以帮助您实现此功能: ```python import wmi import time def detect_usb_events(): c = wmi...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Micr067

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值