网络空间安全（41）权限维持

前言

       在Windows系统中，权限维持是指攻击者在成功入侵系统后，采取一系列技术手段来保持对系统的持续访问和控制。

一、目的

       权限维持的主要目的是确保攻击者在获取系统访问权限后，能够长期、稳定地控制系统，即使系统管理员进行了某些安全加固措施，攻击者仍能保持其隐蔽性和控制权。

二、常见方法

1. 影子账户

   • 原理：通过创建隐藏的用户账户，该账户在常规的用户管理界面（如“控制面板-用户账户”）中不可见，但具有管理员权限。
   • 实现方法：使用net user命令创建带$符号的用户账户（如net user test$ 123456 /add），然后通过修改注册表将该账户隐藏。具体步骤包括修改注册表的权限、复制管理员用户的F数据值到隐藏用户账户、导出和删除注册表项、重新导入注册表项等。
   • 特点：隐蔽性强，难以被常规手段发现，但风险也较大，因为管理员可能通过其他工具（如D盾_web查杀工具的克隆账号检测功能）检测到隐藏账户。

2. 粘滞键后门

   • 原理：利用Windows系统中的粘滞键功能（连续按五次Shift键会弹出粘滞键提示），将粘滞键程序（sethc.exe）替换为恶意程序（如cmd.exe），从而实现持久化后门。
   • 实现方法：将sethc.exe重命名为其他名称（如sethc.exe.bak），然后将恶意程序（如cmd.exe）复制并重命名为sethc.exe。
   • 特点：操作简单，隐蔽性强，但容易被管理员通过查看sethc.exe文件属性或路径发现异常。

3. Logon Scripts后门

   • 原理：在用户登录时触发特定的脚本或程序，该脚本或程序可以执行恶意操作，如下载并运行恶意软件、收集敏感信息等。
   • 实现方法：修改注册表中的UserInitMprLogonScript键值，将其设置为恶意脚本或程序的路径。
   • 特点：隐蔽性强，能够绕过某些安全软件的检测，但需要管理员权限来设置。

4. 映像劫持

   • 原理：利用Windows系统的映像劫持功能（Image File Execution Options），将特定程序的执行流程重定向到恶意程序。
   • 实现方法：在注册表的HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ Image File Execution Options路径下，为目标程序创建一个项，并设置Debugger键值为恶意程序的路径。
   • 特点：能够实现针对特定程序的持久化后门，但容易被管理员通过查看注册表发现。

5. 注册表自启动后门

   • 原理：通过修改注册表的自启动键值，将恶意程序设置为系统启动时自动运行。
   • 实现方法：在注册表的Run、RunOnce、RunServices、RunServicesOnce等键下添加恶意程序的路径。
   • 特点：操作简单，隐蔽性较强，但容易被管理员通过查看注册表或使用安全软件检测发现。

6. 计划任务后门

   • 原理：利用Windows系统的计划任务功能，设置定时启动的恶意程序。
   • 实现方法：使用schtasks命令或任务计划程序创建计划任务，将恶意程序设置为定时启动。
   • 特点：能够实现定时启动的持久化后门，隐蔽性较强，但容易被管理员通过任务计划程序查看或修改。

7. 服务自启动后门

   • 原理：将恶意程序注册为系统服务，使其在系统启动时自动运行。
   • 实现方法：使用sc命令创建服务，将恶意程序设置为服务的可执行文件，并设置服务为自动启动。
   • 特点：隐蔽性强，能够绕过某些安全软件的检测，但需要管理员权限来设置。

8. 其他方法

   • 屏幕保护程序后门：将屏幕保护程序替换为恶意程序，当屏幕保护程序启动时执行恶意操作。
   • 启动文件夹后门：将恶意程序放置在系统的启动文件夹中，使其在系统启动时自动运行。
   • PowerShell配置文件后门：修改PowerShell的配置文件，使其在每次启动PowerShell时自动执行恶意脚本。

三、防御措施

1. 加强账户管理

   • 定期检查用户账户，删除或禁用不再使用的账户。
   • 启用强密码策略，要求用户定期更改密码。
   • 配置账户锁定策略，防止暴力破解攻击。

2. 监控注册表和文件变化

   • 使用安全软件监控注册表的关键键值变化，及时发现恶意修改。
   • 监控关键文件的访问和修改，防止恶意程序被植入或替换。

3. 限制计划任务和服务权限

   • 限制非管理员用户创建和修改计划任务和服务。
   • 定期检查计划任务和服务列表，删除不必要的任务和服务。

4. 启用安全日志审计

   • 启用系统安全日志审计功能，记录账户登录、对象访问等关键事件。
   • 定期检查安全日志，分析潜在的安全威胁。

5. 定期安全检查和更新

   • 定期进行系统安全检查，发现并修复潜在的安全漏洞。
   • 及时更新系统和应用程序的安全补丁，防止已知漏洞被利用。

6. 加强用户安全意识教育

   • 定期对用户进行安全意识教育，提高用户的安全防范意识。
   • 告知用户不要随意点击不明链接或下载不明文件，防止恶意软件感染。

 结语          

对自己不满

是任何真正有才能的人的根本特征之一 

！！！