Windows后门是指当攻击者通过某种手段已经拿到服务器的控制权之后,然后通过在服务器上放置一些后门(脚本、进程、连接之类),来方便以后持久性的入侵。
作为蓝军未知攻,焉知防,站在攻击者角度,熟悉攻击手段和后渗透手段,才能在网络安全应急与安全防御中排查更为彻底,而Windows后门类就是安全应急中最难排查的一种后渗透手段,以下两中攻击手段就是后渗透中较为常见的方式。
后渗透篇之windows后门
放大镜后门1.后门介绍
(2)这时系统提示,没有权限,是因为该程序的所有者不是当前用户。
(3)把当前程序的所有者修改成当前用户。
(4)如果登录的是普通用户,则将该程序的权限,设置为完全控制。
(5)然后将mangify.exe,更名为:mangify_back.exe,然后将cmd.exe复制一份并改名为mangify.exe,让系统认为cmd.exe就是mangify.exe。
注意:这里要是想增加隐蔽性营销引流,可以去尝试更改程序图标,以及属性内容。
(6)重启服务器,可以看到登录页面的左下角有一个图标,点击左下角标识,可以弹出轻松访问功能,然后再选择这里的放大镜,点击应用,可以发现弹出了cmd窗口,直接是system权限。
(7)接下来,就可以通过这个命令行界面去创建账户,输入如图所示命令,可以发现账户创建成功。
(8)使用创建的账户登录服务器系统。
(9)登录成功,当前用户是test1。
放大镜后门防御方式:
1、进入C:Windowssystem32查看magnify.exe的文件图标是否是原来的放大镜的图标,如果不是的话极有可能被植入了放大镜后门(当然有时候攻击者也会去更改将恶意程序的文件图标,更改成原放大镜的图标)。
2、查看magnify.exe(放大镜程序)文件的大小和修改时间。
3、可直接运行magnify.exe,如果打开的不是放大镜程序,则需要删除。
组策略后门1.后门介绍
(2)使用win+r,打开运行,输入gpedit.msc,打开目标服务器的组策略编辑器。
(3)然后打开【计算机配置】-【Windows设置】-【脚本(启动/关机)】,双击右侧的关机,点击添加。
(4)点击浏览,选择我们上传的批处理脚本,点击确定,到这里,我们的组策略后门也就设置好了,在渗透测试过程中,现在只需等管理员关闭计算机的时候,该批处理脚本就会自动运行,去新建一个隐藏账户。
(5)在这里,关机测试一下(看是否会创建隐藏账户),使用隐藏账户登录。
(6)可以发现登录成功,当前用户为hack$。
(7)打开CMD,输入net user命令查看本地账户管理员改名,发现这里没有hack$用户。
组策略后门防御方式:
1、键入WIN+R,输入gpedit.msc,打开计算机配置–Windows设置–脚本(启动/关机)–然后查看是否存在运行中的脚本文件。
本文章目的旨在从供给视角促进防御本地账户管理员改名,请严格遵守国家相关法律法规,请勿使用文章内相关技术进行非法操作,违者后果自负!
中华人民共和国网络安全法
