#C2 后门分析处置&权限维持技术处置
1、常规 C2 后门-分析检测
常规 C2 后门:
-无隐匿手法
删除文件，防火墙阻止程序或 IP域名等
-有隐匿手法
CDN，云函数，中转等(溯源和反制)
2、权限维持技术-分析检测

C2常规后门

定性：哪种C2工具

msf cs viper sliver vshell havoc 响尾蛇等

定性方法：

1.人工分析

数据包流量文件逆向分析

2.平台分析

文件或 IP域名

处置：

1.清理

进程树结束后删除某些后门可能需要重启后删除或者降权删除

2.封锁

防火墙策略去封锁

1、进程名

只能限制名字，改名字就不行了基本没什么用

2、网络连接

简单粗暴，限制入还是限制出（不灵活内网），进阶红队能绕过

3、限制协议

实例：

或者提交到一些在线平台上进行分析

权限维持技术-分析检测

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V"backdoor"/t REG_SZ /F /D"C:\shell.exe"

工具

windows

基线检测：写整改建议报告

golin

WindowsBaselineAssistant

比较综合：基线检测+安全检测

FindAll

下载安装包一键安装即可：

应急响应-C2后门分析处置&权限维持技术处置&基线检测

C2常规后门

定性：哪种C2工具

定性方法：

1.人工分析

2.平台分析

处置：

1.清理

2.封锁

实例：

权限维持技术-分析检测

工具

windows

基线检测：写整改建议报告

golin

WindowsBaselineAssistant

比较综合：基线检测+安全检测

FindAll

1.本地扫描：一键扫描即可

2.远程扫描：Agent位于C:\Program Files\FindAll\resources\buildResources，结果位于C:\Findall\result.hb

d-eyes

linux

linuxcheckshoot

d-eyes

发表回复取消回复

C2常规后门

定性：哪种C2工具

定性方法：

1.人工分析

2.平台分析

处置：

1.清理

2.封锁

实例：

权限维持技术-分析检测

工具

windows

基线检测：写整改建议报告

golin

WindowsBaselineAssistant

比较综合：基线检测+安全检测

FindAll

1.本地扫描：一键扫描即可

2.远程扫描：Agent位于C:\Program Files\FindAll\resources\buildResources，结果位于C:\Findall\result.hb

d-eyes

linux

linuxcheckshoot

d-eyes

发表回复 取消回复

发表回复取消回复