首页
活动
社区
学院
安全导航

解析黑客对Windows指令的使用与防御

阅读量162750

|

发布时间 : 2016-01-28 09:45:56

x
译文声明

本文是翻译文章,文章来源:360安全播报

原文地址:http://blog.jpcert.or.jp/2016/01/windows-commands-abused-by-attackers.html

译文仅供参考,具体内容表达以及含义原文为准。

https://p3.ssl.qhimg.com/t0181b6c5785a55a7e6.jpg

大家好,我是Shusei Tomonaga。

在windows系统中,有大量的指令在后台默默运行着,但是,真正对用户有用的指令只占很小的一部分。另外,JPCERT/CC发现,大部分黑客在入侵的时候,都会使用windows指令收集信息,或者上传后门程序进行提权。这里值得注意的是,如果黑客使用的指令和普通用户使用的指令有太大差距的话,那么我们是可以用防火墙进行识别,并且对黑客的使用的windows指令进行限制。

通过这篇文章,我将揭示windows的指令,并且演示一下如何预防黑客使用windows指令进行攻击。实际上,就是对普通用户和黑客使用的windows命令进行区分,并且把一些普通用户不会使用的指令,而且能够对操作系统造成安全影响的指令进行隔离。

黑客往往会上传一个后门文件,从而远程控制windows系统,再使用windows之类。比如Metasploit, PHP后门等等。在学术用语上,我们把这个后门程序叫做RAT(Remote Access Tool/Trojan)。

如果黑客在一个windows操作系统中上传了一个后门程序,那么他往往会做下面这些事情来收集信息等。我给他们分为了三个部分。

1.调查:收集被感染病毒系统的信息,比如IP段,MAC地址,配置,内网IP等等。

2.信息采集:搜索系统内被保存的文件,找到可利用的信息,并且对感染系统进行提取等等。

3.病毒传播:随后会查看内网里是否还有其它系统等等,并且逐一进行渗透和上传后门进行控制。

实际上,上面这些行为完全可以通过windows的指令来完成,而一般的杀毒软件也难以察觉。我提取了三个黑客的C&C服务器的系统日志,得到了一些有趣的数据。下面展示给大家。

1.调查:

这个表列出了攻击者收集系统信息时常用的windows指令。而下面的执行次数是我们在几个黑客的C&C服务器提取出来的日志得到的。

http://p7.qhimg.com/t01d04e0fe398304653.png

我们发现,大部分黑客都会使用“tasklist”, “ver”, “ipconfig” 和 “systeminfo”指令。大概是为了确保他们入侵的不是一个沙盒环境之类的吧,并且黑客通过这些指令得到了很多有用的信息,比如操作系统环境,网络环境等等。

2.信息采集

下面的表是黑客经常使用的指令对目标进行信息收集和远程访问。

http://p2.qhimg.com/t015ecabbe9c0a96300.png

我们发现,黑客经常使用“dir” 和“type”来搜索文件。通常,他们会对“dir”命令进行一些设置,列出所有他们想要的文件。

对于网络的搜索,“net”命令是黑客经常用到的。下面是出现几率比较高的命令。

net view: 获取连接域的资源列表

net user: 管理本地/域帐户

net localgroup: 本地用户的权限或者所在组

net group: 获取用户域组的列表

net use: 获得资源

下面这些命令虽然只存在于window sever系统,并不存在于普通的windows系统内。但是,黑客可以安装组件,并且使用这些命令。

dsquery: 搜索在激活目录内的账号

csvde: 在激活目录内搜索账号的相关信息

3.病毒传播

下面这张表是黑客传播病毒使用几率比较高的10个windows命令。

http://p4.qhimg.com/t01eb693ab66198b57a.png

注:这个”wmic”命令也常被用于调查步骤。

这个“at”和“wmic”指令经常被用于执行病毒传播。

黑客首先先使用一个“at”指令传播一个后门程序

指令:

at \[remote host name or IP address] 12:00 cmd /c "C:windowstempmal.exe"

随后使用一个“wmic”指令执行后门程序

指令:

wmic /node:[IP address] /user:”[user name]” /password:”[password]” process call create “cmd /c

c:WindowsSystem32net.exe user”

限制一些不安全,而且不是必须使用的windows指令

说实话,这些指令大部分都是黑客们在使用,普通的用户往往就不需要。但是,我们可以使用AppLocker或者其它的防火墙软件设置一些规则,来限制这些指令。

比如,如果你想限制“net”命令,可以根据下面的图来设置。更多的AppLocker规则信息大家可以查看Microsoft的官网。

t0116fb06671f87822f.png

在开放了AppLocker后,它会允许windows执行所有在规则之外的命令,但是,一旦如果遇到被加入规则的命令,那么就会给予限制,并且把命令纪录在历史文档里面。如果操作系统被黑了之后,大家可以查看历史纪录文件,来分析黑客使用的命令。

http://p1.qhimg.com/t018d11d29c9ddf5faa.png

当然,AppLocker也可以纪录规则里面的命令,而不给予屏蔽。这样,就算用户自己使用了规则里面的指令也可以通过。省去了很多麻烦。实际上,AppLocker并不能完全的屏蔽黑客的攻击,但是拿它当作一个监视的工具很不错。

在有针对性的攻击里面。 黑客不仅使用恶意软件来实现他们的目的,还会使用大量的windows指令。说实话,我并不指望AppLocker能够屏蔽所有的威胁指令,但是如果用它来做监视器,那么在被入侵之后,我们就可以发现黑客使用的命令,并且制定出新的安全方案来预防。

A: 闲散并且单一黑客的C&C服务器内得到的常用命令:

1.调查

http://p0.qhimg.com/t012fe33e855a3a2a88.png

2.信息收集

https://p2.ssl.qhimg.com/t015b4a0694c37e4be9.png

3.病毒传播

http://p3.qhimg.com/t01b2e39c0bd74949ea.png

B: 有组织性的黑客的C&C服务内得到的常用的指令

1.调查

http://p3.qhimg.com/t017fd73688deeb7850.png

2.信息收集

http://p6.qhimg.com/t019948a55963a78c99.png

3.病毒传播

http://p0.qhimg.com/t01f5c118f57bc4f376.png

C: 有组织性的黑客的C&C服务内得到的常用的指令

1.调查

http://p0.qhimg.com/t01f6bf8fd916567180.png

2.信息收集

http://p7.qhimg.com/t010ff408510b7057b9.png

好吧,第三个黑客组织还算有良心,没有传播病毒。

谢谢大家的阅读,同时祝大家新年快乐。

相关文献链接:

https://technet.microsoft.com/en-us/library/dd759117.aspx

https://technet.microsoft.com/en-us/library/dd723693%28v=ws.10%29.aspx

本文翻译自360安全播报 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
ResoLuT1On
分享到:微信

发表评论

ResoLuT1On

这个人太懒了,签名都懒得写一个

  • 文章
  • 104
  • 粉丝
  • 1

TA的文章

相关文章

热门推荐

文章目录
安全KER
商务合作
内容需知
合作单位
  • 安全KER
  • 安全KER
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66