攻击者利用的Windows命令、横向渗透工具分析结果列表

横向渗透工具分析结果列表

https://jpcertcc.github.io/ToolAnalysisResultSheet/

攻击者利用的Windows命令

https://blogs.jpcert.or.jp/ja/2015/12/wincommand.html

一、exe启动缓存文件目录

经过搜索.pf文件能够确认恶意程序启动的时间。目录位置在【"C:\Windows\Prefetch"】

二、经常使用命令

攻击者一般用于收集受感染终端信息的命令

1    tasklist    
2    ver         
3    ipconfig    
4    systeminfo  
5    net time    
6    netstat     
7    whoami      
8    net start   
9    qprocess    
10   query

探索活动

1    dir     
2    net view   
3    ping   
4    net use     
5    type   
6    net user   
7    net localgroup  
8    net group  
9    net config 
10   net share

域环境

dsquery：Active Directory中包含的搜索账户
csvde：获取Active Directory中包含的账户信息

感染传播

1    at  
2    reg     
3    wmic
4    wusa   
5    netsh advfirewall
6    sc  
7    rundll32

at和wmic一般用于在远程终端上运行恶意软件。
at命令，经过注册任务到远程终端上相对于文件运行到链接端简单可以如下面的方式，能够经过命令。

at \\[远程主机名或IP地址] 12:00 cmd / c “C:\windows\temp\mal.exe”

此外，经过使用wmic命令，能够经过指定如下参数在远程终端上执行该命令。

wmic /node:[IP地址] /user: “[用户名]”/password: “[口令]” process call create “cmd /c c:\Windows\System32\net.exe user”

三、限制执行没必要要的Windows命令

经过使用AppLocker或软件限制策略限制此类命令的执行。

启用AppLocker指定的Windows命令已执行或否定事件试图运行将被记录在事件日志中，Windows命令攻击者在恶意软件感染后执行，它也能够用于调查。