日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

建議收藏 打開(kāi)注冊(cè)表命令( 四 )

生活常識(shí)生活知識(shí)

建議收藏 打開(kāi)注冊(cè)表命令

如果發(fā)現(xiàn)惡意的運(yùn)行鍵,那么就需要將它從機(jī)器上刪除,具體方法將在后面介紹 。
監(jiān)測(cè)惡意運(yùn)行鍵的行為讓我們從檢測(cè)和監(jiān)控的角度討論一下惡意運(yùn)行鍵的行為 。
在這里,我們將使用內(nèi)置的Windows事件查看器,并為Sysmon和Florian Roth配置相應(yīng)的規(guī)則來(lái)檢測(cè)惡意的運(yùn)行鍵 。然后,你可以將這些Sysmon日志數(shù)據(jù)輸入SIEM,并監(jiān)控?cái)?shù)十萬(wàn)個(gè)端點(diǎn)的運(yùn)行鍵惡意行為(以及其他東西) 。

建議收藏 打開(kāi)注冊(cè)表命令


這里有大量的信息需要考察:
藍(lán)色的箭頭:事件信息
事件ID 13涉及注冊(cè)表值的修改,這個(gè)ID在任何環(huán)境下都是一致的 。
EventType和Task Category也準(zhǔn)確地指出了這里發(fā)生的事情:一個(gè)注冊(cè)表值正在被設(shè)置 。
紅色箭頭:具體信息
TargetObject顯示了我們正在改變的運(yùn)行鍵注冊(cè)表的完整路徑 。它還顯示了我們給它起的名字,并包括改變行為的特殊字符
Details部分顯示了運(yùn)行鍵強(qiáng)制執(zhí)行的命令/可執(zhí)行文件
粉紅色的箭頭:MITRE ATT&CK參考
這個(gè)可能不是在每個(gè)symon配置中都有 。然而,F(xiàn)lorian Roth將MITRE ATT&CK戰(zhàn)術(shù)編號(hào)列入了某個(gè)事件中 。
與其為每個(gè)Event 13生成攻擊警報(bào),我建議你去了解一下環(huán)境中的運(yùn)行鍵通常做什么 。
在整個(gè)企業(yè)中,它們是否有一致的內(nèi)容?
還是財(cái)務(wù)部門(mén)運(yùn)行的軟件合法地改變了運(yùn)行鍵?
你是否能夠以這個(gè)為基準(zhǔn),然后為財(cái)務(wù)部門(mén)的工作站的任何新的、不一致的運(yùn)行鍵變化創(chuàng)建一個(gè)小警報(bào)?
這比從一百萬(wàn)個(gè)事件中抓住一個(gè)流氓Event 13更有價(jià)值 。
交互式檢測(cè)如果您想獲得更多的交互式檢測(cè)體驗(yàn),我會(huì)推薦使用Michael Cohen博士的Velociraptor這樣的工具 。
Velocitaptor是一個(gè)非常棒的工具,但是,我們這里只做簡(jiǎn)單的介紹 。總的來(lái)說(shuō),Velociraptor就是一個(gè)端點(diǎn)響應(yīng)代理,我們可以把它安裝到企業(yè)中的所有端點(diǎn)上,并通過(guò)運(yùn)行在服務(wù)器上的Web應(yīng)用對(duì)其進(jìn)行協(xié)調(diào) 。這種分布式工具使我們能夠同時(shí)查詢(xún)成千上萬(wàn)的機(jī)器 。
Velociraptor內(nèi)置了一個(gè)搜索功能,專(zhuān)門(mén)查詢(xún)每臺(tái)Windows機(jī)器的啟動(dòng)過(guò)程,而這個(gè)搜索功能的一部分就包括查詢(xún)運(yùn)行鍵 。正如你所看到的,這個(gè)搜索功能的目標(biāo)就是一些注冊(cè)表的運(yùn)行鍵 。此外,Velociraptor的目標(biāo)還有另外幾個(gè)運(yùn)行鍵,以及其他一些啟動(dòng)位置 。
建議收藏 打開(kāi)注冊(cè)表命令


如果我們啟動(dòng)了這個(gè)啟動(dòng)檢測(cè)搜索,我們將得到一個(gè)格式優(yōu)美的結(jié)果表 。在真實(shí)的生產(chǎn)環(huán)境中,你會(huì)發(fā)現(xiàn)噪音會(huì)更多一些,所以請(qǐng)注意!現(xiàn)在,看看我們檢測(cè)到了什么:域中的一臺(tái)機(jī)器正在運(yùn)行C:\evil.exe,這個(gè)名字真是太嚇人了 。
建議收藏 打開(kāi)注冊(cè)表命令


幸運(yùn)的是,現(xiàn)在我們已經(jīng)找到了惡意的運(yùn)行鍵,不僅如此,我們還可以從主機(jī)中刪除它 。
鏟除惡意運(yùn)行鍵現(xiàn)在,是時(shí)候鏟除惡意的運(yùn)行鍵了 。
建議收藏 打開(kāi)注冊(cè)表命令


下面,我們開(kāi)始外科手術(shù) 。如果使用的命令不夠精確,則會(huì)意外地刪除合法的運(yùn)行鍵 。重要的是,這里也要用-verbose完成刪除操作,并仔細(xì)檢查它是否已經(jīng)消失,以確保刪除對(duì)象的確已經(jīng)被清除了 。
在PowerShell的for語(yǔ)句的后面,復(fù)制并粘貼前面檢測(cè)到的惡意運(yùn)行鍵的完整路徑,并再次檢查確認(rèn) 。
Get-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\RunOnce" | select -property * -exclude PS*| fl

推薦閱讀