被黑客們濫用的Windows命令

在Windows操作系統中，默認情況下安裝了各種命令（以下稱為「Windows命令」）。然而，一般用戶實際使用的只是它的一小部分。另一方面，JPCERT/CC觀察到入侵網路的攻擊者也使用Windows命令來收集信息或在網路中傳播惡意軟體進行感染。這裡值得注意的是一般用戶和攻擊者使用的那些Window命令之間的差距。如果存在巨大差異，則可以通過監視或控制Windows命令執行來檢測或限制攻擊者的行為。

本文將演示如何通過顯示攻擊者在入侵的Windows操作系統上使用的Windows命令以及通過限制對一般用戶不必要的那些命令的執行來減輕攻擊影響。

用於遠程控制的惡意軟體（遠程訪問工具/特洛伊木馬-RAT）具有從遠程環境執行shell命令的功能。這樣，攻擊者可以從遠程環境執行Windows命令。

在網路中成功安裝這樣的惡意軟體的攻擊者將嘗試按照以下順序控制網路內的系統，以便收集機密信息等。

初步調查：收集受感染機器的信息偵察：查找保存在機器和網路中的遠程計算機上的信息感染蔓延：用其他惡意軟體感染機器或嘗試訪問其他機器

在上述所有階段都會使用Windows命令。下面介紹在每個階段中使用的各個Windows命令。

初步調查

表1列出了攻擊者經常使用的命令，用於嘗試收集受感染機器的信息。 「執行次數」是從各個C＆C伺服器中的3個不同攻擊組使用的Windows命令的總和（有關詳細信息，請參閱附錄A，B和C）。

表1：初步調查（命令Top10）

偵察

表2中所示的命令通常用於搜索網路中的機密信息和遠程機器。

表2：偵察（命令Top10）

*」wmic」 相關的命令也常被用於信息偵察。

攻擊者使用「dir」和「type」搜索文件。有時，他們通過為「dir」命令設置適當的選項和參數來收集受感染機器中的所有文檔文件的列表。

對於搜索網路環境信息，會使用「net」相關命令。特別是能經常看到以下命令：

net view：獲取可連接的域資源列表net user：管理本地/域帳戶net localgroup：獲取屬於本地組的用戶列表net group：獲取屬於某些域組的用戶列表net use：訪問資源

此外，以下命令可以在使用Active Directory的環境中使用（請參閱附錄A中的表5）。這些命令都安裝在Windows Server中，在客戶端操作系統，如Windows 7和8.1原先是不存在的—但攻擊者會下載並安裝這些命令並執行它們。

dsquery：搜索Active Directory中的帳戶csvde：在Active Directory中獲取帳戶信息

感染傳播

要侵入遠程計算機並在網路中傳播惡意軟體進行感染，攻擊者通常會執行以下命令：

*」wmic」 相關的命令也常被用於信息偵察。

「at」和「wmic」命令通常用於在遠程計算機上執行惡意軟體。

使用「at」命令，攻擊者可以通過註冊計劃任務以便在可連接的計算機上執行文件，從而在遠程計算機上執行命令，如下所示。

at \[remote host name or IP address] 12:00 cmd /c "C:windows empmal.exe"

此外，通過使用「wmic」命令設置以下選項和參數，攻擊者可以在遠程計算機上執行命令。

wmic /node:[IP address] /user:」[user name]」 /password:」[password]」 process call create 「cmd /c c:WindowsSystem32
et.exe user」

限制不必要的Windows命令的執行

可以公平地說，攻擊者使用的這些Windows命令也包括一般用戶不經常使用的那些命令。 有了AppLocker和軟體限制策略，就可以限制這些命令的執行，也可以限制攻擊者的行為。 例如，如果您想限制「net」命令，您可以設置如圖1所示的規則。（有關AppLocker配置的詳細信息，請參閱Microsoft網站[1]）。

此外，通過啟用AppLocker，所選擇的Windows命令被執行或嘗試運行但被拒絕的事件將記錄在事件日誌中，可用於調查攻擊者在用惡意軟體感染機器後執行的Windows命令。

AppLocker也可以只監視Windows命令[2]。 因此，AppLocker無法阻止意外的Windows命令被執行，但執行歷史記錄將被記錄在事件日誌中。 如果用戶自己使用可用於攻擊的Windows命令，最好將AppLocker設置為監視目的。（也可以通過激活本地安全策略中的「審核進程創建」來監視Windows命令執行。）

結論

在有針對性的攻擊中，攻擊者不僅使用惡意軟體中實現的功能，而且還經常使用Windows命令來達到其目的。 如果這種活動可能受到阻礙，可以在相當早的階段防止事件的傳播。 但是，你可能很難立即限制Windows命令的使用 — 因此我們的建議是通過使用AppLocker等收集已執行進程的日誌。

參考：

[1] Microsoft – Windows AppLocker

[2] Microsoft – 使用審查模式跟蹤所使用的應用程序

附錄A：各攻擊組（攻擊組A）執行命令列表

表4：初始調查（攻擊組A）

Table 4: Initial Investigation (Attack Group A)

Table 5: Reconnaissance (Attack Group A)

Table 6: Spread of Infection (Attack Group A)

表7：初始調查（攻擊組B）

Table 7: Initial Investigation (Attack Group B)

Table 8: Reconnaissance (Attack Group B)

Table 9: Spread of Infection (Attack Group B)

表10：初始調查（攻擊組C）

Table 10: Initial Investigation (Attack Group C)

Table 11: Reconnaissance (Attack Group C)

*攻擊組C的「感染傳播」命令將被省略，因為它們沒有傳播感染。

本文參考來源於.jpcert，如若轉載，請註明來源於嘶吼： 被黑客們濫用的Windows命令 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：