橫向滲透工具分析結果列表

https://jpcertcc.github.io/ToolAnalysisResultSheet/

攻擊者利用的Windows命令

https://blogs.jpcert.or.jp/ja/2015/12/wincommand.html

1、exe啟動緩存文件目錄

通過搜索.pf文件可以確認惡意程序啟動的時間。目錄位置在【"C:\Windows\Prefetch"】

2、常用命令

攻擊者通常用于收集受感染終端信息的命令

1 tasklist 2 ver 3 ipconfig 4 systeminfo 5 net time 6 netstat 7 whoami 8 net start 9 qprocess 10 query

探索活動

1 dir 2 net view 3 ping 4 net use 5 type 6 net user 7 net localgroup 8 net group 9 net config 10 net share

域環境

dsquery：Active Directory中包含的搜索帳戶 csvde：獲取Active Directory中包含的帳戶信息

感染傳播

1 at 2 reg 3 wmic 4 wusa 5 netsh advfirewall 6 sc 7 rundll32

at和wmic通常用于在遠程終端上運行惡意軟件。
at命令，通過注冊任務到遠程終端上相對于文件運行到連接端簡單能夠以下面的方式，可以通過命令。

at \\[遠程主機名或IP地址] 12:00 cmd / c “C:\windows\temp\mal.exe”

此外，通過使用wmic命令，可以通過指定以下參數在遠程終端上執行該命令。

wmic /node:[IP地址] /user: “[用戶名]”/password: “[口令]” process call create “cmd /c c:\Windows\System32\net.exe user”

3、限制執行不必要的Windows命令

通過使用AppLocker或軟件限制策略限制此類命令的執行。

啟用AppLocker指定的Windows命令已執行或否認事件試圖運行將被記錄在事件日志中，Windows命令攻擊者在惡意軟件感染后執行，它也可以用于調查。

轉載于:https://www.cnblogs.com/17bdw/p/10311287.html

總結

以上是生活随笔為你收集整理的攻击者利用的Windows命令、横向渗透工具分析结果列表的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。