一、Windows服务后门介绍
在Windows系统中还有一个重要的机制,就是服务。通常大部分的服务都拥有SYSTEM权限,如果攻击者利用Windows的服务机制创建一个后门服务,那么这个后门将比一般的持久化方法更为强健。
二、Windows服务后门-教程
前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限
靶机: windows Server2012
IP: 192.168.226.128
攻击机: kali
IP: 192.168.226.131
2.1 利用MSF生成一个EXE类型的后门木马
命令:
2.2 创建后门自启动服务
创建名字为ceshi的自启动服务命令:
2.3 监听返回的shell
在kali上监听端口8888,马上就接收到目标机弹回来的shell,且目标机每次重启都会启动 ceshi 服务。
三、Windows服务后门——应急响应发现
3.1 查看网络连接
使用 TCPView 工具查看网络连接,未发现异常的连接,如下图所示,看来这个方法不能用了
3.2 查看服务器上所有的程序和服务
首先查看 everything(所有项目,意思是:全部的开机自启动项都在这)
然后查看 服务(意思是:全部的服务都在这)
查看这两处发现,有三个进程是可疑的“粉红色”
接下来查看所有的“粉红色”的程序,并且将程序放在微步云沙箱去检测,经检测发现c:\users\administrator\desktop\wxiaoge.exe文件为后门木马
注意:
粉色: 表示该条目对应的应用没有数字签名、签名不匹配或者没有发行商信息(可疑程序一般都是粉色)
黄色: 表示该启动条目对应的文件已经不存在了(可疑程序也可能是黄色)
绿色: 表示与之前保存的启动项配置比较,对比出来的差异将以绿色高亮进行显示。处置:
1、删除ceshi服务和c:\users\administrator\desktop\wxiaoge.exe文件