检测并移除WMI持久化后门

已于 2022-04-04 23:48:42 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: 内网渗透 域渗透 文章标签: 安全
于 2020-05-05 12:33:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41082546/article/details/105930843
版权

WMI型后门只能由具有管理员权限的用户运行。WMI后门通常使用powershell编写的,可以直接从新的WMI属性中读取和执行后门代码,给代码加密。通过这种方式攻击者会在系统中安装一个持久性的后门,且不会在磁盘中留下任何文件。

  WMI型后门主要有两个特征:无文件和无进程。其基本原理是:将代码加密存储在WMI中,达到所谓的无文件;当设定的条件满足时,系统将自动启动powershell进程去执行后门程序,当后门程序执行后进程就会消失。

检查WMI后门,CommandLineTemplate的内容就是程序要执行的命令。

Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='Updater'"

清除WMI后门的常用方法有:

1.删除自动运行列表中的恶意WMI条目。

2.在powershell中使用Get-WMIObject命令删除与WMI持久化相关的组件。

WMI后门检测

# Reviewing WMI Subscriptions using Get-WMIObject

# Event Filter

Get-WMIObject -N

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Micr067
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
WMI_Backdoor:在Black Hat 2015上展示的PoC WMI后门
05-16
WMI_Backdoor 在Black Hat 2015上展示的PoC WMI后门
Windows常见的持久后门汇总1
08-03
以上技术只是Windows系统中持久后门的一部分,实际中攻击者可能组合多种技术以增加检测难度。了解和掌握这些方法对于防御者来说至关重要,以便于及时发现和消除潜在威胁。同时,对于攻击者而言,理解这些技术能...
wmi后门的简单实验
ailx10
10-22 232
一晃一天过去了,操作系统后门的实验也接近尾声了,感谢大家一路的支持。失败不是悲剧,放弃才是。加油,白帽子黑客~ailx10:第一个windows后门(粘滞键后门) ailx10:「后渗透测试」神器Empire入门 ailx10:「计划任务后门」问题出在哪? ailx10:注册表注入后门的简单实验 本实验基于上一个实验,如果发现运行的时候,提示上下文不对那基本上就是权限不够,需要提权是的,wmi后门...
渗透测试实战之WMI持久记录
anquanzushiye的博客
02-01 1559
0x00 背景WMI(Windows Management Instrumentation,Windows 管理规范)是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本...
wmi 硬盘序列号_渗透测试实战之WMI持久记录
weixin_39948824的博客
11-24 314
0x00 背景WMI(Windows Management Instrumentation,Windows 管理规范)是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机,WMI 采用统一的、基于标准的、可扩展的面向对象接口,可以直接调用 WMI 接口来检索性能数据,管理事件日志、文件系统、打印机、进程、注册表设置、计划程序、安全性、服务、共享以及很多其他的...
添加删除WMI名称空间
weixin_30776863的博客
04-08 196
查了N多的资料,也找不到一个添加WMI的空间的例子,找到的都是添加WMI类的例子。 后来微软的人,得到了添加自己创建的wmi名称空间的代码。我们可以在我们自己定义的名称空间下,添加一些wmi类,记录一些信息,供远程wmi读取信息。结合wmi远程调用程序的方法,可以用来客户服务器通讯。 [windows2003 测试通过] 添加wmi名称空间: 仿照windows\system32\w...
利用WMI实现系统补丁检测分析
09-06
WMI系统补丁检测分析 WMI(Windows Management Instrumentation)是一种系统管理架构,提供了一个统一的、基于标准的、可扩展的面向对象接口。它以CIMOM(Common Information Model Object Manager)为基础,提供了...
USB检测除|UsbEject
01-03
2. **USB设备检测**:在Windows操作系统中,可以通过注册表、WMI(Windows Management Instrumentation)或.NET Framework提供的API来检测USB设备的插入和拔出。开发者可以监听设备事件,当有USB设备连接或断开时,...
python使用WMI检测windows系统信息、硬盘信息、网卡信息的方法
09-22
最后,我们可以在主程序中调用这些函数来获取并打印所有信息: ```python if __name__ == "__main__": os = platform.system() if os == "Windows": get_system_info(os) get_memory_info(os) get_disk_info(os...
WMI Attacks
citelao的博客
03-21 772
WMI Attacks 三好学生 · 2015/08/24 10:19 0x00 前言 Matt Graeber在Blackhat中介绍了如何使用WMI并展示其攻击效果,但细节有所保留,所以这一次具体介绍如何通过powershell来实现WMI attacks。 0x01 说明 WMI在内网渗透中最常见的是wmiexec 之前在http://drops.wooyun.
PowerShell Payload后门免杀主流杀毒软件
Shellpei的博客
07-03 520
PowerShell Payload 后门测试 目标机:Windows 11 IP:192.168.120.164 攻击机:Kali IP:192.168.120.133 测试项目:https://github.com/machine1337/window-rat cd /opt git clone https://github.com/machine1337/window-rat.git cd window-rat chmod +x exploit.sh ./expl...
应急响应实战笔记——权限维持篇:② Windows 权限维持&后门
最新发布
君逍遥o
03-28 756
利用COM劫持技术,最为关键的是dll的实现以及CLSID的选择,通过修改CLSID下的注册表键值,实现对CAccPropServicesClass和MMDeviceEnumerator劫持,而系统很多正常程序启动时需要调用这两个实例。如果攻击者能够控制其中的某一 个目录,并且放一个恶意的DLL文件到这个目录下,这个恶意的DLL便会被进程所加载,从而造成代码执行。管理员在平时运维过程应当保持警惕,掌握一定的入侵排查技巧,及时进行系统补丁更新,定期对服务器安全检查,才能有效地预防后门
《内网安全攻防:渗透测试实战指南》读书笔记(八):权限维持分析及防御
闵行小鱼塘
04-22 4748
本篇继续阅读学习《内网安全攻防:渗透测试实战指南》,本章是权限维持分析及防御,分析了常见的针对操作系统后门、Web后门及域后门(白银票据、黄金票据等)的攻击手段,并给出了相应的检测和防范方法
内网渗透----常见后门
浅笑996的博客
05-31 1213
0x01.综合利用手法 1.Smbrelay smbrelayx.py 由于此手法是中间件攻击,需要关闭SMB的签名措施,Windows Server默认开启,其他系统默认关闭,使用 nmap扫描一下未开启签名的机器: nmap -sT -p 445 --open --script smb-security-mode.nse,smb-os-discovery.nse 192.168.91.0/24...
后渗透测试神器Empire的详解
热门推荐
Fly_鹏程万里
06-04 1万+
1. Empire简介官网介绍如下:Empire is a pure PowerShell post-exploitation agent built on cryptologically-secure communications and a flexible architecture. Empire implements the ability to run PowerShell agents...
利用WMI打造完美三无后门(scrcons.exe)
穷途末路
10-16 9710
ASEC是WMI中的一个标准永久事件消费者。它的作用是当与其绑定的一个事件到达时,可以执行一段预先设定好的JS/VBS脚本
Windows安全基础——Windows WMI详解
m0_59598029的博客
02-29 1091
WMI(Windows Management Instrumentation, Windows管理规范)是Windows2000/XP管理系统的核心,属于管理数据和操作的基础模块。设计WMI的初衷是达到一种通用性,通过WMI操作系统、应用程序等来管理本地或者远程资源。它支持分布式组件对象模型(DCOM,DistributionModel)和Windows远程管理(WinRM),用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能。
wmi 库编写循环usb拔插检测
07-20
您可以使用 WMI (Windows Management Instrumentation) 库来编写循环检测 USB 设备的插拔情况。以下是一个示例代码,可以帮助您实现此功能: ```python import wmi import time def detect_usb_events(): c = wmi...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Micr067

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值