2023年11月29日发(作者:)

横向移动检测之远程执⾏(四)WMIWMIC

横向移动检测之远程执⾏—WMI/WMIC

1.1 介绍

在横向移动过程,攻击者可能会利⽤WMI(Windows Management Instrumentation)提供的功能,通过远程执⾏命令进⾏横向移

动。在Windows平台,在客户端通常使⽤wmic执⾏命令,服务端会使⽤来创建客户端请求的进程,wmic命令的基本格式如

下:

CMD:wmic /node:host process call create “”

Powershell:Invoke-WmiMethod –Computer host –Class Win32_Process –Name create -Argument “c:” #

默认使⽤当前⽤户的凭证

检查winrm服务:

设置防⽕墙规则:

wmic /node:192.168.49.145 /user joker /password:123456 process call create ""

如下图,成功远程创建进程:

源:192.168.49.155

⽬的:192.168.49.144

在⽬标主机查看,成功执⾏了:

1.2 WMI/WMIC -

⽇志收集:

--tsource C: --target EventLogs --tdest EventLogs

1.2.2 注册表

ShimCache

Windows Application Compatibility(兼容性) Database,被Windows⽤来识别可执⾏程序可能⾯临的兼容性。ShimCache会记

录可执⾏⽂件的名称,⽂件⼤⼩,最后的修改时间,及在Windows XP中的最后更新时间。在Win7/8/10中,位于

位于C:,记录程序的⾸次执⾏时间。可⽤在live系统提

取:

--tsource C: --target Amcache --tdest Amcache

然后⽤⼯具RegRipper对⽂件进⾏分析,如下(注意结果中时间加8),测试过程未找到程序的执⾏记录:

Prefetch

Windows Prefetch⽂件位于C:windowsprefetch⽬录,通过分析恶意服务的可执⾏⽂件对应的.pf⽂件,可以获得程序的执⾏次

数,⾸次执⾏时间,最后执⾏时间等信息。

⽤winprefetchview对⽂件进⾏分析,在下图中,程序⾸次运⾏时间为2019-07-03 21:35:55,运⾏次数为15,最后运⾏时

间为2019-09-14 23:23:08:

使⽤对⽇志进⾏分析:

-stats:OFF -i:EVT "SELECT TimeGenerated AS Date, EXTRACT_TOKEN(Strings, 5, '|') as Username, EXTRACT_TOKEN(Strings, 6,

Microsoft-Windows-WMI-Activity%

1.3.2 注册表

ShimCache

Windows Application Compatibility(兼容性) Database,被Windows⽤来识别可执⾏程序可能⾯临的兼容性。ShimCache会记

录可执⾏⽂件的名称,⽂件⼤⼩,最后的修改时间,及在Windows XP中的最后更新时间。在Win7/8/10中,位于

-

1.3.3 ⽂件系统

⽂件创建

当攻击者在远程系统创建进程或执⾏命令时,可能需要在⽬标系统上传恶意⽂件如(恶意服务可执⾏⽂件)或(服务

DLL),因此⽂件的创建和删除等会被⽂件系统记录。

-

^_^- 感谢阅读 -^_^