ATT & CK 阶段之Persistence -- Scheduled Task

黑客利用计划任务维持控制
最新推荐文章于 2024-10-21 11:12:11 发布
原创 最新推荐文章于 2024-10-21 11:12:11 发布 · 765 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了黑客如何利用Windows和Linux系统的计划任务功能来维持对受感染机器的长期控制。详细介绍了at、schtasks及crontab的攻击手法,并提供了系统配置、授权管理和监控策略作为防御措施。

前言

在黑客攻击某台机器之后,为了防止会话中断而失去机器的控制权限,黑客常会通过计划任务的手段来维持自身的权限。在Windows系统中,常通过at;schtasks进行设置。

常见攻击方式

  1. at
  2. schtasks
  3. cron

缓解方式

  1. 审计
  2. 系统配置,禁用system权限执行计划任务
  3. 授权账号管理。只允许管理员相关用户配置计划任务

检测方式

监控相关进程的执行和命令行参数。如win10监控svchost.exe,而更早版本的使用taskeng.exe,计划任务存储在%systemroot%\System32\Tasks。通过autoruns工具可以显示当前所有的计划任务

Windows利用方法

  1. 利用at命令设置计划任务
    首先通过net use建立ipc通道。经测试,ipc通道使用445端口
net use \\192.168.96.218\admin$ /user:sojrs 123456  #net use 连接
net time \\192.168.96.218   #查看远程主机时间

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EQdlDYlH-1589273593648)(evernotecid://E313BAD6-185D-4B09-A205-0D35B54ADFE7/appyinxiangcom/22766090/ENResource/p365)]

通过at方式设置计划任务,注意在新版本系统at已不支持,已通过schtasks进行设置
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eQtSR3jZ-1589273593650)(evernotecid://E313BAD6-185D-4B09-A205-0D35B54ADFE7/appyinxiangcom/22766090/ENResource/p366)]

at \\192.168.96.218 17:00 "calc.exe": 当天下午5点运行calc.exe
at \\192.168.96.218 17:00 /every:5,10,15 "calc.exe" : 每月的5,10,15号下午17点启动计算器

注:通过at命令运行的计划任务,你在任务栏里面无法看到相关进程,但你通过wmic process get Name 或者tasklist能看到
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-f5ksI3bn-1589273593651)(evernotecid://E313BAD6-185D-4B09-A205-0D35B54ADFE7/appyinxiangcom/22766090/ENResource/p367)]

  1. 利用schtasks方式

同样要先通过net use 建立ipc连接,利用schtashs设置计划任务

schtasks /create /s 192.168.1.102 /u “administrator” /p “123!@#” /RL HIGHEST /tn windowsupdate /tr C:\\Windows\temp\1.bat /sc DAILY /mo 1 /ST 19:30  #创建任务
schtasks /run /tn windowsupdate /s 192.168.1.102 /u “administrator” /p “123!@#” : 启用相关任务名
其中,RL表示作业级别,一般设置最高,为HIGHEST,tn是任务名称,tr是运行程序路径,sc表示时间间隔,DAILY表示以天为间隔,mo为执行周期,这里设置成了1天1次
schtasks /delete /tn windowsupdate /s 192.168.1.102 /u “administrator” /p "123!@#" :删除相关计划任务

注:这里RL表示设置的执行权限,如果是HIGHEST,则会以system权限进行执行,因此也经常会通过这种手段进行提权

Linux利用方法

crontab/anacron计划任务
涉及到的文件
/etc/crontab

涉及到的目录
/var/spool/anacron
/var/spool/cron
/etc/cron.d/
/etc/cron.hourly/
/etc/cron.daily/
/etc/cron.monthly/
/etc/cron.weekly/

一般来说里面主要是这个格式,可以直接编辑/var/spool/cron等文件或者crontab -e

分 时 日 月 星期 执行命令
如
* * * * * echo "111" : 表示每分钟打印一次

相关特点

  1. windows的计划任务将会存储在C:\Windows\System32\Tasks 目录下,在旧的系统版本中,测试用的win server2008每个新的计划任务,根据其id号,生成at[id]的文件名
    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JNc8tdPf-1589273593652)(evernotecid://E313BAD6-185D-4B09-A205-0D35B54ADFE7/appyinxiangcom/22766090/ENResource/p369)]

而在win10中,会在该目录下,创建一个和任务名对应的文件
在这里插入图片描述

参考链接

windows计划任务:https://www.c0bra.xyz/2019/11/21/Windows%E8%AE%A1%E5%88%92%E4%BB%BB%E5%8A%A1%E5%9C%A8%E5%90%8E%E6%B8%97%E9%80%8F%E4%B8%AD%E7%9A%84%E5%BA%94%E7%94%A8md/
ipc连接问题报错:https://www.cnblogs.com/backlion/p/7401609.html
crontab计划任务格式详解:https://linuxtools-rst.readthedocs.io/zh_CN/latest/tool/crontab.html

精选资源
ATT&CK手册(修改版)
09-16
1. **攻击框架**:ATT&CK模型按照攻击阶段划分,包括预攻击、初始访问、执行、持久化、权限提升、防御规避、凭证访问、发现、横向移动、收集、命令与控制、数据泄露和影响等阶段。每个阶段下又细分多种攻击技术。 2...
SIM800 Series_AT Command Manual
08-01
SIM800 Series_AT Command Manual
ATT&CK v10版本战术介绍—持久化(一)
ducc20180301的博客
02-04 831
本期主要介绍了持久化战术前6项子技术理论知识,下期将给大家介绍持久化战术其他子技术。敬请关注。
ATT & CK 阶段之 Execution -- CMSTP
sojrs_sec的博客
05-09 1750
前言 ATT&CK 阶段之Executon即执行:当黑客入侵成功之后,往往会通过一系列的命令去获取信息、创建持续性会话。本文主要讲解通过cmstp.exe命令执行,调用恶意的dll或者com脚本(sct)。这种方式可以绕过applocker或者其他白名单的防御方式以及UAC. cmstp基本命令使用 cmstp.exe /s /ns C:\Users\ADMINI~W\AppData\Local\Temp\XKNqbpzl.txt 在cmd中执行cmstp.exe -h 安装配置 cmstp.e
ATT & CK 阶段之Execution -- WMI
sojrs_sec的博客
05-09 764
WMI简介 Windows Management Instrumentation:是Windows管理功能,主要是为本地和远程访问Windows系统组件提供环境。依靠于Wmi服务进行本地或远程访问,同时需要SMB及RPCS(135端口)进行远程访问。攻击者通过WMI可以进行远程交互,用于后续渗透的信息收集或远程执行命令。 缓解措施 特权账号管理,防止系统账号和特权账号凭证相同 用户账号管理:默认只有管理员账号才可以通过WMI远程连接。可严格控制所有用户无法通过WMI远程连接 检测方式 网络监控:监控使
ATT&CK初步了解
博客地址 www.sec0nd.top
07-27 1291
ATT&CK起源于一个项目,该项目记录并分类了入侵后针对微软Windows系统的对手战术、技术和程序(TTPs),以提高对恶意行为的检测。后来它发展到包括Linux和macOS,并扩大到涵盖导致环境妥协的行为,以及技术重点领域,如移动设备、基于云的系统和工业控制系统。MITREATT&CK是一个针对网络对手行为的精心策划的知识库和模型,反映了对手攻击生命周期的各个阶段以及他们已知的目标平台。红队、紫队和渗透测试活动的规划、执行和报告可以使用ATTCK,以便防御者和报告接收者以及其内部之间有一个通用语言。.
ATT&CK】简介
吉吉的博客
08-22 3599
ATT&CK 模型简介,相关知识,应用场景,攻击者和防守方的利用
精选资源
ATT-CK-CN:ATTCK实操
02-05
【标题】:ATT-CK-CN:ATTCK实操 【描述】:ATT-CK-CN是基于MITRE的ATT&CK框架的中国针对性版本,它为理解和防御针对中国境内的网络攻击提供了详细的战术、技术和程序(TTPs)模型。ATT&CK框架是一种知识库,收集...
Vulnstack---ATT&CK实战系列:--红队实战(一)
weixin_53736204的博客
09-12 1105
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实APT实战环境,从实战中成长。
初识ATT&CK
m0_38103658的博客
05-12 3010
初识ATT&CK框架 前言: ATT&CK这一概念自2014年提出时起,作为安全分析领域中的前沿研究一直在默默地发挥着自己的影响,但是由于其概念在当时过于超前以至于并没有引起多大反响,直至2019年的红蓝对抗赛这才把ATT&CK框架重新推回到了安全圈的C位上,接下来的三期内容,美创安全实验室将为大家带来ATT&CK模型的独家解读,好了,废话不多说Let‘s go! 但是要是想完全弄懂ATT&CK模型到底是什么,那么有一个相关概念以及问题必须要先弄懂。还请大家耐心看完。
【读书笔记】针对ICS的ATT&CK矩阵详解(一)
tpriwwq的专栏
03-07 1907
Att&CK for ICS Matrix
ATT&CK(三)之ATT&CK的十四个战术
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-28 4036
ATT&CK矩阵从2018年的v8版本开始,战术阶段增加到14个战术(Tactics)阶段,此前为12个战术阶段,多增加了“侦查”、“资源建立”2个战术,以及“初始访问”、“执行”、“持久化”、“提权”、“防御绕过”、“凭据访问”、“发现”、“横向移动”、“收集”、“命令与控制”、“数据泄露”、“影响”12个战术。其中前面2个战术指的是PRE-ATT&CK阶段,后面12个战术指的是ATT&CK阶段。下图是v7版本的12个战术阶段下图是v12版本的14个战术阶段
ATT&CK 框架讲解
最新发布
土豆的博客
10-21 2270
通过将ATT&CK的攻击技术与D3FEND的防御技术进行映射和关联,安全团队可以更加全面地了解攻击与防御之间的对应关系,从而制定更加有效的防御策略。通过结合ATT&CK框架与智能化响应技术,安全团队可以构建自动化的响应流程,根据攻击行为的特征和严重程度,自动选择和执行相应的响应措施。同时,基于ATT&CK框架的自动化和智能化技术还可以帮助组织评估自身的安全状况,发现潜在的安全漏洞和弱点,并提供针对性的改进建议。这些模块的引入,不仅丰富了框架的内容,也提升了其在实际应用中的针对性和实用性。
ATT&CK的优缺点分别是什么
网络战争的博客
05-04 520
ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)框架是一个广泛使用的资源,它提供了对网络威胁的深入洞察,特别是关于攻击者可能采取的战术、技术和程序(TTPs)。:虽然ATT&CK框架提供了有用的威胁情报,但仅依赖ATT&CK可能导致误报(即误将无害活动视为攻击)或漏报(即未能检测到某些真实的攻击)。这提高了检测和响应的效率。:ATT&CK框架详细描述了各种攻击者的TTPs,覆盖了从最初的侦察到最终的数据窃取或破坏的整个攻击链。
Windows7系统taskeng.exe文件丢失问题
amio555的专栏
12-13 1368
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个taskeng.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现taskeng.exe丢失要怎么解决?
taskeng.exe是什么进程
热门推荐
做最好的自己
09-01 1万+
这个是用于计划任务的,如果你没有使用计划任务,关掉没有任何影响。 taskeng.exe 开放分类: 系统 文件名: taskeng.exe 显示名: Microsoft 任务计划程序引擎 描述: 任务计划程序引擎 发行者: Microsoft Corporation 数字签名方: Microsoft Windows Verification PCA 文件类型: 应用程序 自动启动: 否 文件路径
电脑每隔一分钟总是弹出个taskeng.exe黑色框框
asdf_314159265的博客
01-24 3609
taskeng.exe --> Microsoft 任务计划程序引擎 --> 发行者: Microsoft Corporation 电脑每隔一分钟总是弹出个taskeng.exe黑色框框,让人烦不胜烦,首先我以为在任务管理器把进程删掉就OK了。可是到了时间后又有了。后来得到解决方法: 控制面板 --> 所有控制面板项 --> 管理工具 --> 任务计划程序 --> 任务计划程序库 到了这里面...
安装MySQL后经常弹出taskeng.exe~
weixin_33958366的博客
08-27 759
taskeng.exe,是Microsoft任务计划程序引擎调用的安全进程。文件路径为C:\Windows\system32\taskeng.exe。大小165KB。 解决办法:  这个问题是Windows计划服务,关闭就好了。 Win7系统在控制面板\所有控制面板项\管理工具\任务计划程序里面(在任务计划库找到相应任务,右键选择禁用)。 ...
掌握ATT&CK-CN:实战指南
标题中的“ATT-CK-CN:ATT&CK实操”表明本文档是一个关于MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)框架的实战指南。ATT&CK框架是一种以行为为导向的攻击知识库,它详细列出了攻击者...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值