绕过检测与持久化的无文件攻击(第二篇)

最新推荐文章于 2024-11-01 18:23:17 发布
最新推荐文章于 2024-11-01 18:23:17 发布
阅读量468 收藏 1
点赞数 15
文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57898612/article/details/141467007
版权
1. 绕过防御机制的策略
  • 混淆技术:使用 PowerShell 的混淆技术,例如 Base64 编码,来绕过防病毒软件的检测。
  • 内存混淆:通过动态分配和释放内存,扰乱内存扫描工具。
2. 无文件持久化技术
  • WMI 事件订阅:利用 WMI 的事件订阅功能,使恶意代码在系统启动时自动加载。
  • Registry Run Key:使用注册表的 Run Key 执行 PowerShell 脚本。
3. 实战示例三:WMI 事件订阅持久化

使用 WMI 的事件订阅功能可以在特定的系统事件发生时自动执行代码。

$trigger = New-Object Management.Automation.Runspaces.PSRemoteEvent -ArgumentList ([Action]::Create($code),$null)
Register-WmiEvent -Query "Select * From __InstanceCreationEvent Within 5 Where TargetInstance Isa 'Win32_Process'" -Action $trigger
4. 实战示例四:内存混淆与绕过

通过动态内存管理技术,攻击者可以不断移动恶意代码的执行位置,从而绕过内存扫描工具。

// 伪代码示例,实际实现将复杂得多
void ObfuscateMemory() {
    while(true) {
        LPVOID newMem = VirtualAlloc(NULL, size, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
        CopyMemory(newMem, originalCode, size);
        Execute(newMem);
        VirtualFree(newMem, 0, MEM_RELEASE);
    }
}

两篇文章中我们简单理解高级无文件攻击的技术原理和实际应用场景。可以根据这些内容进一步扩展和应用于更复杂的攻击场景。

Hi, how are you
关注
CSRF绕过
墨痕诉清风的博客
06-20 305
1. 替换referer为url,如果header已有则不替换,例172.16.12.129为url,查看返回值是否包含cookie,cookie中存在SameSite字段,包含则表示SameSite标志cookie检测到了。3. 替换referer为主机外的地址,有cookie再次请求,查看返回值是否包含cookie,cookie中存在SameSite字段,包含则表示SameSite标志cookie检测到了。3. 删除整个token,尝试请求查看返回状态码,200、300则起作用,否则篡改无效。
文件攻击的各种姿势
蚁景网安学院
05-08 952
0x01很多应急响应行动中都会出现这样的场景:客户主机出现CPU占用率很高或有连接C&C服务器的可疑现象,但是使用杀软查杀却没有发现磁盘上有恶意文件。这其实就是无文件攻击。“无文...
文件攻击
why123wh的博客
02-16 2675
文件攻击是一种高级持续性威胁(APT)的攻击方式,它不会在目标系统的磁盘上留下可执行文件,而是利用系统内置的工具或脚本执行恶意代码,从而绕过传统的安全防护措施。无文件攻击的最大特点就是恶意代码直接在内存中运行,难以被发现和清除。
浅谈无文件攻击
荒野求生的博客
03-24 917
文件威胁 https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/fileless-threats 无文件威胁到底是什么?术语“无文件”表示威胁不会出现在文件中,例如仅存在于计算机内存中的后门。但是,没有针对无文件恶意软件的定义。该术语被广泛使用,有时用来描述确实依靠文件进行操作的恶意软件家族。 攻击涉及执行,持久性或信息盗窃等功能的多个阶段。攻击链的某些部分可能没有文件,而其他部分可能以某种形
后渗透篇:整理常见的几种Windows后门持久化方式
bylfsj的博客
10-08 1781
0×0 背景  持久化后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门(脚本、进程、...
第二章 网络攻击原理与方法(笔记)
weixin_44060766的博客
04-09 447
网络攻击是指损害网络系统安全属性的危害行为,其危害行为包括机密性、完整性、可用性、可控性、真实性、抗抵赖性等受到不同程度的破坏。
【软考中级信安】第二章--网络攻击原理与常用方法
RexHa的博客
10-21 1489
网络攻击是指损害网络系统安全的危害行为。信息泄露攻击(针对保密性)完整性破坏攻击(针对完整性)拒绝服务攻击(针对可用性)非法使用攻击(针对可用性)网络攻击原理表:不同的攻击者的攻击意图不同,采用的攻击工具和攻击效果也不同。
第二章 网络攻击原理与常用方法
weixin_42457054的博客
12-04 2793
文章目录网络攻击原理与常用方法网络攻击概述网络攻击概念概念攻击原理网络攻击模型攻击树模型MITRE ATT&CK模型网络杀伤链(Kill Chain)模型发展趋势网络攻击一般过程网络攻击常见技术方法端口扫描口令破解工作流程缓冲区溢出原理恶意代码拒绝服务原理特点网络钓鱼网络窃听SQL注入社交工程电子监听会话劫持漏洞扫描代理技术数据加密黑客常用软件及工具网络攻击案例DDoS攻击流程常用的技术举例 网络攻击原理与常用方法 网络攻击概述 网络攻击概念 概念 网络攻击是指损害网络系统安全属性的危害行为,常见的
PowerShell注入技巧:无盘持久性和绕过技术
weixin_33693070的博客
08-01 613
写在前面的话 PowerShell是网络安全专家、IT管理员以及黑客们最喜欢的工具之一,这一点是毋庸置疑的。PowerShell的可扩展性和其强大的功能让微软操作系统的可控制程度上升到了一个前所未有的等级。简单说来,Powershell 是运行在windows机器上实现系统和应用程序管理自动化的命令行脚本环境,而它可以算是颠覆了传统的命令行提示符-c...
网络安全员】需要了解的一项攻击技术-高隐匿、高持久化威胁
HBohan的博客
02-21 871
本文首先从Rootkit的**生存期**、**可达成的效果**,以及**运用这项技术展开攻击的可行性**和**Windows Rootkit现状分析**四个角度展开讨论,并结合历史攻击事件,分析掌握这项技术的APT组织所**关注的目标群体**和**可能造成的影响**,最后总结**Rootkit在不同层次攻击活动中所处的地位**。
网络攻击与防御-第四章 Metasploit渗透攻击.pptx
06-29
- **encoder模块**:用于编码payload,绕过防火墙和IDS检测。 - **nops模块**:填充代码,使payload长度适应特定环境。 - **post-exploitation模块**:攻击成功后进一步利用的工具。 3. **Metasploit渗透攻击...
为什么TCP(TIME_WAIT)2倍MSL
weixin_44102162的博客
11-01 369
MSL(最大报文段生存时间)是TCP协议中定义的一个常量,表示TCP报文在网络中存活的最长时间。等待2倍MSL的原因是为了给报文提供足够的时间消失或确认。第一个MSL:等待网络中的FIN和ACK报文到达对方,确保双方完成连接关闭。第二个MSL:等待可能在网络中滞留的所有旧报文完全失效,避免与未来的新连接混淆。TIME_WAIT状态在TCP协议中扮演了确保数据完整性和网络可靠性的角色,通过2倍MSL时间的等待机制,防止ACK丢失以及旧报文干扰新连接。
如何使用SOCKS5代理提升匿名性
dailiip1的博客
10-30 873
SOCKS5代理作为一种高效的网络匿名技术,能够为使用者提供多样化的应用场景和显著的隐私保护优势。透过正确配置和合理使用SOCKS5代理,使用者可以有效提升线上安全性,规避潜在的网络监控和攻击风险,享受更安全和自由的网络体验。未来随着网络安全需求的不断增长,SOCKS5代理技术的应用和发展将更加广泛和深入,为用户创造更安全可靠的网络环境。
集线器是共享带宽的,交换机独享带宽。怎么讲?
zxf347085420的博客
10-31 271
交换机的所有的端口都挂接在这条背部总线上,控制电路收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口,目的MAC若不存在,广播到所有的端口,接收端口回应后交换机会“学习”新的MAC地址,并把它添加入内部MAC地址表中。交换机都支持全双工。上网出口才一条,这是大家共亨的,而交换机的带宽现在一般的是100M,是独亨的,指的是你内部与其他电脑通讯使用的带宽。是独亨的,指的是你内部与其他电脑通讯使用的带宽。
嵌入式系统中的网络链接如何实现远程监控和控制
teach2004的博客
10-31 277
随着物联网(IoT)的快速发展,嵌入式系统在各类设备中的应用日益普及。通过网络连接,嵌入式系统能够实现远程监控和控制,为用户带来极大的便利和灵活性。嵌入式系统通过网络链接实现远程监控和控制,极大地提升了设备的智能化和便利性。随着技术的不断进步,未来的嵌入式系统将在各个领域发挥更大的作用。· 数据采集:嵌入式系统定期收集传感器数据,并通过网络将数据发送到服务器。· 工业自动化:工厂通过远程监控设备的状态,实现生产过程的优化和故障预警。· 数据存储:服务器将接收到的数据存储在数据库中,方便后续分析和处理。
AIGC时代的网络威胁和防御
qq128252的博客
10-31 783
本文讨论了 AIGC 时代的网络攻击和防御,以及利用大型语言模型打造先进的交互式蜜罐系统。 关键要点包括: - 生成式 AI 成为网络威胁新宠:探讨了其在网络攻击中的滥用,如被网络犯罪分子利用生成和自动化攻击。 - 攻击方法多样:包括 Character Play、Switch Method、OccupyAI 等多种攻击方式。 - 研究结论与应对策略:发现生成式 AI 降低攻击门槛,增加攻击复杂度,提出加强网络安全框架等应对策略。 - 利用 LLM 打造蜜罐系统:介绍了利用 LLM 创建更高效蜜罐系统的研究
『 Linux 』网络传输层 - TCP(二)
最新发布
小侯宝的博客
11-01 803
为什么是三次握手三次握手是TCP为了保证双方通信时具有可靠性所定制的一种策略;而三次握手可以确保客户端和服务端至少都向对方发送了一次消息,从而确保连接建立的更为可靠;以朴素的角度来看三次握手实际上也可以被解析成四次握手;但为了提升连接创建的效率,TCP采用捎带应答的策略,在第二次握手中将ACK报文与SYN报文整合成了一个报文,即为SYN+ACK报文;在三次握手中能够确保双端都对对方进行一次消息的发送以及消息的接收来确保连接的稳定,因此三次握手中任何一次握手都不能少;
无线基础配置
wangleihubin的博客
10-31 897
vlan b [AC6605]vlan batch 10 20 100 Info: This operation may take a few seconds. Please wait for a moment...done. [AC6605]int [AC6605]interface g [AC6605]interface GigabitEthernet 0/0/2 [AC6605-GigabitEthernet0/0/2]port link-type trunk [AC6605
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值