会员服务

如何检测并移除WMI持久化后门?

2018 年 11 月 5 日 FreeBuf

前言

Windows Management Instrumentation(WMI)事件订阅,是一种常被攻击者利用来在端点上建立持久性的技术。因此,我决定花一些时间研究下Empire的WMI模块,看看有没有可能检测并移除这些WMI持久化后门。此外,文中我还回顾了一些用于查看和移除WMI事件订阅的PowerShell命令。这些命令在实际测试当中都非常的有用,因此我也希望你们能记录它们。

有关更多“Windows Management Instrumentation事件订阅”的内容,请参考MITRE ATT&CK Technique T1084。

攻击者可以使用WMI的功能订阅事件,并在事件发生时执行任意代码,从而在目标系统上建立一个持久化后门。

WMI 介绍

WMI是微软基于Web的企业管理(WBEM)的实现版本,这是一项行业计划,旨在开发用于访问企业环境中管理信息的标准技术。WMI使用公共信息模型(CIM)行业标准来表示系统,应用程序,网络,设备和其他托管组件。

事件过滤器(event filter )是一个WMI类,用于描述WMI向事件使用者传递的事件。此外,事件过滤器还描述了WMI传递事件的条件。

配置Sysmon日志记录

我们可以将Sysmon配置为记录WmiEventFilter,WmiEventConsumer和WmiEventConsumerToFilter活动,并启用WMI滥用检测。

Roberto Rodriguez 的(@Cyb3rWard0g)Sysmon配置文件将捕获上述事件ID。

执行以下命令安装Sysmon,并应用配置文件。

sysmon.exe -i -c .\config_file.xml

建立持久化后门

下面,我们使用Empire的Invoke-WMI模块,在受害者端点上创建一个永久的WMI订阅。

检测

查看Sysmon日志,我们可以看到Empire模块:

注册了一个WMI事件过滤器;

注册了一个WMI事件使用者;

将事件使用者绑定到事件过滤器。

WMI事件过滤器为stager设置了相应执行条件,其中包括对系统正常运行时间的引用。

WMI事件使用者包含了以Base64编码形式的Empire stager,并使用了一个不易引起人们怀疑的名称Updater进行注册。

WMI事件使用者CommandLineEventConsumer.Name=\”Updater\”,被绑定到了事件过滤器__EventFilter.Name=\”Updater\”

现在,事件使用者被绑定到了事件过滤器。如果事件过滤条件为真,那么将会触发相应的事件使用者(stager)。

后门移除

最简单的办法就是,使用Autoruns从WMI数据库中删除条目。以管理员身份启动Autoruns,并选择WMI选项卡查看与WMI相关的持久性后门。

右键单击恶意WMI数据库条目,然后选择“Delete”删除即可。

或者,你也可以从命令行中删除WMI事件订阅。

在PowerShell中,我们使用Get-WMIObject命令来查看事件过滤器绑定的WMI事件过滤器,事件使用者和使用者过滤器。这里我要感谢Boe Prox(@proxb)在他的博客上详细解释了这些命令。

# Reviewing WMI Subscriptions using Get-WMIObject
# Event Filter
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter “Name=’Updater’”

# Event Consumer
Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter “Name=’Updater’”

# Binding
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter “__Path LIKE ‘%Updater%’”

使用Remove-WMIObject命令,移除WMI持久性后门的所有组件。

# Removing WMI Subscriptions using Remove-WMIObject
# Event Filter
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter “Name=’Updater’” | Remove-WmiObject -Verbose

# Event Consumer
Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter “Name=’Updater’” | Remove-WmiObject -Verbose

# Binding
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter “__Path LIKE ‘%Updater%’” | Remove-WmiObject -Verbose

完成后我们再次运行Autoruns,以验证持久化后门是否已被我们成功清除。

*参考来源:medium ,FB小编secist编译,转载请注明来自FreeBuf.COM

登录查看更多
0

相关内容

【CMU博士论文】使用静态和动态图来异常检测,Mining Anomalies using Static and Dynamic Graphs
【CMU博士论文】使用静态和动态图来异常检测,Mining Anomalies using Static and Dynamic Graphs
专知会员服务
66+阅读 · 2020年5月26日
【毕业之路】如何修改博士论文?这份45页PPT《Editing your thesis》教你
【毕业之路】如何修改博士论文?这份45页PPT《Editing your thesis》教你
专知会员服务
73+阅读 · 2020年4月13日
Google 发布图片配对基准及挑战:从系列图像重建三维物体和建筑物
Google 发布图片配对基准及挑战:从系列图像重建三维物体和建筑物
专知会员服务
39+阅读 · 2020年4月4日
【2020新书】使用Google Dialogflow构建虚拟助手对话机器人,201页pdf
【2020新书】使用Google Dialogflow构建虚拟助手对话机器人,201页pdf
专知会员服务
69+阅读 · 2020年3月19日
深度神经网络实时物联网图像处理,241页pdf
深度神经网络实时物联网图像处理,241页pdf
专知会员服务
76+阅读 · 2020年3月15日
【微软雷德蒙研究院】对抗机器学习工业视角,Adversarial Machine Learning - Industry Perspectives
【微软雷德蒙研究院】对抗机器学习工业视角,Adversarial Machine Learning - Industry Perspectives
专知会员服务
11+阅读 · 2020年2月23日
【电子书】C++ Primer Plus 第6版,附PDF
【电子书】C++ Primer Plus 第6版,附PDF
专知会员服务
83+阅读 · 2019年11月25日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
13+阅读 · 2019年11月13日
Keras作者François Chollet推荐的开源图像搜索引擎项目Sis
Keras作者François Chollet推荐的开源图像搜索引擎项目Sis
专知会员服务
29+阅读 · 2019年10月17日
[综述]深度学习下的场景文本检测与识别
[综述]深度学习下的场景文本检测与识别
专知会员服务
77+阅读 · 2019年10月10日
更新 Chrome 之后,教你屏蔽烦人的第三方扩展警告
更新 Chrome 之后,教你屏蔽烦人的第三方扩展警告
少数派
4+阅读 · 2020年2月18日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
35+阅读 · 2019年10月23日
使用ONNX+TensorRT部署人脸检测和关键点250fps
使用ONNX+TensorRT部署人脸检测和关键点250fps
极市平台
34+阅读 · 2019年10月22日
支持多标签页的Windows终端:Fluent 终端
支持多标签页的Windows终端:Fluent 终端
Python程序员
7+阅读 · 2019年4月15日
基于Web页面验证码机制漏洞的检测
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
I2P - 适用于黑客的Android应用程序
I2P - 适用于黑客的Android应用程序
黑白之道
28+阅读 · 2019年3月6日
如何编写完美的 Python 命令行程序?
如何编写完美的 Python 命令行程序?
CSDN
5+阅读 · 2019年1月19日
如何用GitLab本地私有化部署代码库?
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
已删除
已删除
生物探索
3+阅读 · 2018年2月10日
专栏 | 如何利用激光雷达检测车道线?这里提供了4种方法
专栏 | 如何利用激光雷达检测车道线?这里提供了4种方法
新智驾
6+阅读 · 2017年12月3日
Few-shot acoustic event detection via meta-learning
Arxiv
26+阅读 · 2020年2月21日
InteractE: Improving Convolution-based Knowledge Graph Embeddings by Increasing Feature Interactions
InteractE: Improving Convolution-based Knowledge Graph Embeddings by Increasing Feature Interactions
Arxiv
12+阅读 · 2019年11月1日
Text Classification Algorithms: A Survey
Arxiv
4+阅读 · 2019年4月17日
Rapid Customization for Event Extraction
Rapid Customization for Event Extraction
Arxiv
7+阅读 · 2018年9月20日
Apple Flower Detection using Deep Convolutional Networks
Arxiv
3+阅读 · 2018年9月17日
Bidirectional Attention for SQL Generation
Bidirectional Attention for SQL Generation
Arxiv
4+阅读 · 2018年6月21日
Constructing Narrative Event Evolutionary Graph for Script Event Prediction
Arxiv
11+阅读 · 2018年5月16日
Predicting Cyber Events by Leveraging Hacker Sentiment
Arxiv
3+阅读 · 2018年4月14日
Adversarial Attribute-Image Person Re-identification
Arxiv
7+阅读 · 2018年2月6日
Polypus: a Big Data Self-Deployable Architecture for Microblogging Text Extraction and Real-Time Sentiment Analysis
Arxiv
3+阅读 · 2018年1月11日
VIP会员
相关主题
WMI
事件
PowerShell
Microsoft Windows
International Conference on Conceptual Modeling
XPath
相关VIP内容
【CMU博士论文】使用静态和动态图来异常检测,Mining Anomalies using Static and Dynamic Graphs
【CMU博士论文】使用静态和动态图来异常检测,Mining Anomalies using Static and Dynamic Graphs
专知会员服务
66+阅读 · 2020年5月26日
【毕业之路】如何修改博士论文?这份45页PPT《Editing your thesis》教你
【毕业之路】如何修改博士论文?这份45页PPT《Editing your thesis》教你
专知会员服务
73+阅读 · 2020年4月13日
Google 发布图片配对基准及挑战:从系列图像重建三维物体和建筑物
Google 发布图片配对基准及挑战:从系列图像重建三维物体和建筑物
专知会员服务
39+阅读 · 2020年4月4日
【2020新书】使用Google Dialogflow构建虚拟助手对话机器人,201页pdf
【2020新书】使用Google Dialogflow构建虚拟助手对话机器人,201页pdf
专知会员服务
69+阅读 · 2020年3月19日
深度神经网络实时物联网图像处理,241页pdf
深度神经网络实时物联网图像处理,241页pdf
专知会员服务
76+阅读 · 2020年3月15日
【微软雷德蒙研究院】对抗机器学习工业视角,Adversarial Machine Learning - Industry Perspectives
【微软雷德蒙研究院】对抗机器学习工业视角,Adversarial Machine Learning - Industry Perspectives
专知会员服务
11+阅读 · 2020年2月23日
【电子书】C++ Primer Plus 第6版,附PDF
【电子书】C++ Primer Plus 第6版,附PDF
专知会员服务
83+阅读 · 2019年11月25日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
13+阅读 · 2019年11月13日
Keras作者François Chollet推荐的开源图像搜索引擎项目Sis
Keras作者François Chollet推荐的开源图像搜索引擎项目Sis
专知会员服务
29+阅读 · 2019年10月17日
[综述]深度学习下的场景文本检测与识别
[综述]深度学习下的场景文本检测与识别
专知会员服务
77+阅读 · 2019年10月10日
热门VIP内容
相关资讯
更新 Chrome 之后,教你屏蔽烦人的第三方扩展警告
更新 Chrome 之后,教你屏蔽烦人的第三方扩展警告
少数派
4+阅读 · 2020年2月18日
TheFatRat 一款简易后门工具
TheFatRat 一款简易后门工具
黑白之道
35+阅读 · 2019年10月23日
使用ONNX+TensorRT部署人脸检测和关键点250fps
使用ONNX+TensorRT部署人脸检测和关键点250fps
极市平台
34+阅读 · 2019年10月22日
支持多标签页的Windows终端:Fluent 终端
支持多标签页的Windows终端:Fluent 终端
Python程序员
7+阅读 · 2019年4月15日
基于Web页面验证码机制漏洞的检测
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
I2P - 适用于黑客的Android应用程序
I2P - 适用于黑客的Android应用程序
黑白之道
28+阅读 · 2019年3月6日
如何编写完美的 Python 命令行程序?
如何编写完美的 Python 命令行程序?
CSDN
5+阅读 · 2019年1月19日
如何用GitLab本地私有化部署代码库?
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
已删除
已删除
生物探索
3+阅读 · 2018年2月10日
专栏 | 如何利用激光雷达检测车道线?这里提供了4种方法
专栏 | 如何利用激光雷达检测车道线?这里提供了4种方法
新智驾
6+阅读 · 2017年12月3日
相关论文
Few-shot acoustic event detection via meta-learning
Arxiv
26+阅读 · 2020年2月21日
InteractE: Improving Convolution-based Knowledge Graph Embeddings by Increasing Feature Interactions
InteractE: Improving Convolution-based Knowledge Graph Embeddings by Increasing Feature Interactions
Arxiv
12+阅读 · 2019年11月1日
Text Classification Algorithms: A Survey
Arxiv
4+阅读 · 2019年4月17日
Rapid Customization for Event Extraction
Rapid Customization for Event Extraction
Arxiv
7+阅读 · 2018年9月20日
Apple Flower Detection using Deep Convolutional Networks
Arxiv
3+阅读 · 2018年9月17日
Bidirectional Attention for SQL Generation
Bidirectional Attention for SQL Generation
Arxiv
4+阅读 · 2018年6月21日
Constructing Narrative Event Evolutionary Graph for Script Event Prediction
Arxiv
11+阅读 · 2018年5月16日
Predicting Cyber Events by Leveraging Hacker Sentiment
Arxiv
3+阅读 · 2018年4月14日
Adversarial Attribute-Image Person Re-identification
Arxiv
7+阅读 · 2018年2月6日
Polypus: a Big Data Self-Deployable Architecture for Microblogging Text Extraction and Real-Time Sentiment Analysis
Arxiv
3+阅读 · 2018年1月11日
大家都在搜
  1. TDGN
  2. 智能仓储
  3. 大型语言模型
  4. 扩散模型
  5. 模型综述
  6. 李清照词作
  7. 成飞
  8. 卡尔曼
  9. AGV
  10. 最受欢迎动物书系列之“红皮书”
    11.
Top
微信扫码咨询专知VIP会员
Top