【渗透测试】powershell 执行基本任务的替代方法

我发现恶意软件开发人员用来执行基本任务的技术。我们知道lolbins [ 1 ]是用于执行恶意活动的预安装工具。例如,许多lolbin用于从Internet下载某些内容。一些工具功能如此强大,以至于它们也可以用来执行意外的任务。我找到了一篇有趣的博客文章[ 2 ],其中描述了如何使用curl来复制文件!

C:\Users\REM> curl file://c:\test\test.txt -o newfile.txt

您是否要再举个例子?某些工具可能会偏离其常规使用方式,例如ping.exe:

C:\Users\REM\Desktop>ping -n 5 127.0.0.1

此命令将以一秒的间隔发送五个Echo-Request ICMP数据包,因此它将在大约五秒钟后完成。使用ping.exe并不是很谨慎,因为将启动一个新进程,并且可以通过Sysmon之类的工具发现该进程。您知道很多在公司计算机上使用ping的非技术人员吗?

但是ping.exe对于恶意软件检测计算机是否可以解析主机名并具有Internet连接非常有用。您可以使用Powershell来实现此目的,而不是使用ping命令:
在这里插入图片描述

昨天,我发现了一个恶意的PowerShell脚本,该脚本使用了以前从未见过的另一种技术。这次,该技术基于WMI查询!
在这里插入图片描述
结论:请记住,攻击者可以使用多种技术来执行简单的任务并破坏您的检测规则和/或控制。

如果您已经遇到其他技巧,请分享!

[1] https://lolbas-project.github.io
[2] https://www.hexacorn.com/blog/2021/05/02/curo-bin/

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GuiltyFet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值