女人自慰AV免费观看内涵网,日韩国产剧情在线观看网址,神马电影网特片网,最新一级电影欧美,在线观看亚洲欧美日韩,黄色视频在线播放免费观看,ABO涨奶期羡澄,第一导航fulione,美女主播操b

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

淺析Wireshark流量添加計劃任務行為檢測

哆啦安全 ? 來源:彌天安全實驗室 ? 作者:奧村燐 ? 2022-10-19 09:10 ? 次閱讀

0x00故事是這樣的

1.添加任務計劃命令其實有兩個:

①.at命令是Windows自帶的用于創(chuàng)建計劃任務的命令,但是at命令只在2003及以下的版本使用。

②.schtasks命令(在2008及以后的系統(tǒng)中已經(jīng)將at命令廢棄,改用schtasks命令代替了at命令)。

2.下面是自己之前本地搭建環(huán)境抓取的數(shù)據(jù)包,其中包含了at命令和schtasks命令產(chǎn)生的流量。

9f72d7fa-4f46-11ed-a3b6-dac502259ad0.png

3.其中at命令的特征還是比較明顯的

①.執(zhí)行命令at \XXXXXXX1600 cmd.exe /c "命令 > c: esult.txt"

②.先通過SMB建立IPC鏈接。

③.創(chuàng)建一個請求文件,調用一個RPC綁定。

④.然后發(fā)送一個JobAdd請求到at服務。

9f9640fa-4f46-11ed-a3b6-dac502259ad0.png

4.ATSVC的UUID:1ff70682-0a51-30e8-076d-740be8cee98b

9fe34292-4f46-11ed-a3b6-dac502259ad0.png

5.JobAdd請求特征還是比較明顯的,這個屬于強特征。

a0129d12-4f46-11ed-a3b6-dac502259ad0.png

6.所以排查at命令的思路就是篩選出來所有的JobAdd請求,條件是:atsvc.opnum==0,這個時候只要排查Command里面的數(shù)據(jù)就行了。

a0385372-4f46-11ed-a3b6-dac502259ad0.png

7.第二個命令schtasks的特征已經(jīng)不是很明顯了。

①.其中運行方式有兩種,第一種需要建立IPC,然后再執(zhí)行schtasks命令。

a0572ce8-4f46-11ed-a3b6-dac502259ad0.png

②.第二種運行方式已經(jīng)不需要建立IPC,這個命令可以直接輸入/u /p進行帳號認證,搜索smb可以發(fā)現(xiàn)已經(jīng)沒有ipc認證的步驟了。

a088b452-4f46-11ed-a3b6-dac502259ad0.png

a0ad29ae-4f46-11ed-a3b6-dac502259ad0.png

③.并且創(chuàng)建任務的時候,和at命令又不一樣了,在綁定RPC之后,所有的opnum操作都是加密數(shù)據(jù)的,我們根本不知道,是惡意的還是正常業(yè)務。

a0ec15ec-4f46-11ed-a3b6-dac502259ad0.png

④.可以搜索下面這個條件

dcerpc.cn_bind_to_uuid==86d35949-83c9-4044-b424-db363231fd0c

⑤.先篩選出來所有調用了schtasks命令的數(shù)據(jù)包。

a123546c-4f46-11ed-a3b6-dac502259ad0.png

⑥.然后我們如何知道加密的參數(shù)是否是惡意的呢?我們可以使用多個行為進行關聯(lián)。

⑦.場景假設,攻擊者是個小白,會同時去嘗試at命令和schtasks命令。

⑧.如果只有一條schtasks命令的數(shù)據(jù)包,不算是攻擊行為,但是如果一個源IP同時觸發(fā)at命令+schtasks命令,可以判斷是一次是攻擊行為。

a17f1874-4f46-11ed-a3b6-dac502259ad0.png

8.最后通過分析做的一個總結:

①.at命令的行為特征屬于強特征,比較明顯,通常不需要關聯(lián)多個異常行為進行判斷。

②.schtasks命令的行為特征屬于弱特征,不太明顯,我們可以使用多個行為進行關聯(lián)判斷。

9.假設schtasks攻擊場景:

①.短時間內觸發(fā)schtasks命令+多臺機器3389(ssh登錄)可以產(chǎn)生一次攻擊告警行為。

②.短時間內觸發(fā)schtasks命令+多個web系統(tǒng)登錄行為可以產(chǎn)生一次攻擊告警行為。

③.短時間內觸發(fā)schtasks命令+TCP連接同一個源IP多個端口可以產(chǎn)生一次攻擊告警行為。

10.以上場景的行為可以相互進行疊加,短時間疊加的越多,存在攻擊行為的可能性越大。







審核編輯:劉清

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權轉載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • RPC
    RPC
    +關注

    關注

    0

    文章

    111

    瀏覽量

    11782
  • SMB
    SMB
    +關注

    關注

    0

    文章

    41

    瀏覽量

    11894
  • AT命令
    +關注

    關注

    0

    文章

    19

    瀏覽量

    9036
  • UUID
    +關注

    關注

    0

    文章

    23

    瀏覽量

    8308

原文標題:Wireshark流量分析之添加計劃任務行為檢測

文章出處:【微信號:哆啦安全,微信公眾號:哆啦安全】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦
    熱點推薦

    wireshark(1)——ubuntu下解決wireshark權限問題

    wireshark要監(jiān)控eth0,但是必須要root權限才行。但是,直接用root運行程序是相當危險,也是非常不方便的。解決方法如下: 1.添加wireshark用戶組 sudo groupadd
    發(fā)表于 01-08 10:18

    wireshark2——ubuntu系統(tǒng)下wireshark普通用戶抓包設置

    sudo的方式用root打開Wireshark顯然是不安全的,也不是很方便,因為得到的封包數(shù)據(jù)也屬于root用戶。解決這個問題的辦法——可以使用用戶組功能使用Wireshark,具體操作: 1、添加
    發(fā)表于 01-08 10:19

    詳解linux定時任務

    定時執(zhí)行程序,實現(xiàn)腳本中的功能,在linux是通過etc/init.d/crond這個服務來實現(xiàn)計劃任務
    發(fā)表于 07-25 06:12

    Windows 10添加默認電源計劃相關資料分享

    Windows 10添加默認電源計劃添加計劃的命令添加計劃的命令powercfg -duplicatescheme [id]將[id]替換成相應的電源
    發(fā)表于 12-27 08:13

    二進制加計數(shù)器淺析

    二進制加計數(shù)器
    發(fā)表于 11-24 14:31 ?6次下載

    Firefox 75附帶一個新的計劃任務 可自動收集遙測數(shù)據(jù)以幫助Mozilla改進這款瀏覽器

    外媒報道稱,幾天前發(fā)布的 Firefox 75 軟件,在 Windows 中附帶了一個新的計劃任務。在用戶選擇開啟之后,它便可每日收集可用的遙測數(shù)據(jù),以幫助 Mozilla 改進這款瀏覽器。其實早在
    的頭像 發(fā)表于 04-10 16:12 ?1702次閱讀

    Windows 10添加默認電源計劃

    Windows 10添加默認電源計劃添加計劃的命令添加計劃的命令powercfg -duplicatescheme [id]將[id]替換成相應的電源
    發(fā)表于 01-05 14:09 ?0次下載
    Windows 10<b class='flag-5'>添加</b>默認電源<b class='flag-5'>計劃</b>

    WireShark的常用操作

    絡封包和流量分析領域有著十分強大功能的工具,深受各類網(wǎng)絡工程師和網(wǎng)絡分析師的喜愛。 本文主要內容包括: 1、Wireshark主界面介紹。 2、WireShark簡單抓包示例。通過該例子學會怎么抓包以及如何簡單查看分析數(shù)據(jù)包內容
    的頭像 發(fā)表于 05-26 15:16 ?850次閱讀
    <b class='flag-5'>WireShark</b>的常用操作

    工業(yè)智能網(wǎng)關BL110應用之二十六: 如何配置任務計劃

    鼠標左鍵雙擊“任務計劃”,彈出任務計劃設置框,鼠標光標放在方框內,鼠標右鍵彈出操作框,點擊“添加”,彈出
    的頭像 發(fā)表于 09-07 14:58 ?633次閱讀
    工業(yè)智能網(wǎng)關BL110應用之二十六: 如何配置<b class='flag-5'>任務</b><b class='flag-5'>計劃</b>

    wireshark是什么軟件 wireshark安裝教程

    Wireshark 是網(wǎng)絡包分析工具。網(wǎng)絡包分析工具的主要作用是嘗試捕獲網(wǎng)絡包, 并嘗試顯示包的盡可能詳細的情況。 你可以把網(wǎng)絡包分析工具當成是一種用來測量有什么東西從網(wǎng)線上進出的測量工具,就好像
    發(fā)表于 09-13 16:26 ?0次下載

    Wireshark抓包原理及使用教程

    Wireshark使用的環(huán)境大致分為兩種,一種是電腦直連網(wǎng)絡的單機環(huán)境,另外一種就是應用比較多的網(wǎng)絡環(huán)境,即連接交換機的情況。 「單機情況」下,Wireshark直接抓取本機網(wǎng)卡的網(wǎng)絡流量; 「交換機情況」下,
    的頭像 發(fā)表于 11-19 15:05 ?7126次閱讀
    <b class='flag-5'>Wireshark</b>抓包原理及使用教程

    linux定時任務的用法總結

    習慣了使用 windows 的計劃任務,使用 linux 中的 crontab 管理定時任務時很不適應。
    的頭像 發(fā)表于 08-14 18:16 ?1062次閱讀
    linux定時<b class='flag-5'>任務</b>的用法總結

    Linux計劃任務crontab運行腳本不正確的問題

    寫好的程序希望在崩潰之后能夠自啟動,于是利用linux的crontab功能,添加一個計劃任務,每分鐘執(zhí)行一個腳本查看需要監(jiān)控的進程是否還在,如果不在則啟動之,否則不做任何事情。這么一個簡單的腳本在crontab中運行和在shell終端手工運行的結果卻不一樣。
    的頭像 發(fā)表于 10-23 13:36 ?853次閱讀

    Linux計劃任務介紹

    1.計劃任務(定時任務)基本概述 1.什么是crond crond就是計劃任務,類似于我們平時生活中的鬧鐘。定點執(zhí)行。 2.為什么要使用crond?crond主要是做一些周期性的任務
    的頭像 發(fā)表于 11-24 15:49 ?691次閱讀

    Linux計劃任務cron詳解

    cron是linux下用來周期性的執(zhí)行某種任務或等待處理某些事件的一個守護進程,與windows下的計劃任務類似,當安裝完成操作系統(tǒng)后,默認會安裝此服務 工具,并且會自動啟動crond進程,crond進程每分鐘會定期檢查是否有要執(zhí)行的
    的頭像 發(fā)表于 02-07 15:31 ?678次閱讀
    Linux<b class='flag-5'>計劃任務</b>cron詳解