FreeBuf - 如何使用PersistenceSniper搜索Windows系統中的持久化植入程序－鑽石舞台

關於PersistenceSniper

PersistenceSniper是一款功能強大的PowerShell模塊，該工具專為藍隊研究人員、安全應急事件響應人員和系統管理員設計，旨在幫助大家尋找Windows系統中的持久化植入程序。

該工具目前正在積極開發中，可能隨時會更新，請確保在使用該工具前已升級到了最新版本。

支持檢測的持久化技術

Run Key

RunOnce Key

Image File Execution Options

Natural Language Development Platform 6 DLL Override Path

AEDebug Keys

Windows Error Reporting Debugger

Windows Error Reporting ReflectDebugger

Command Prompt AutoRun

Explorer Load

Winlogon Userinit

Winlogon Shell

Windows Terminal startOnUserLogin

AppCertDlls DLL Injection

App Paths Hijacking

ServiceDll Hijacking

Group Policy Extensions DLLs

Winlogon MPNotify

CHM Helper DLL

Hijacking of hhctrl.ocx

Startup Folder

User Init Mpr Logon Script

AutodialDLL Winsock Injection

LSA Extensions DLL

ServerLevelPluginDll DNS Server DLL Hijacking

LSA Authentication Packages DLL

LSA Security Packages DLL

Winlogon Notify Packages DLL

Explorer Tools Hijacking

.NET DbgManagedDebugger

cmd Hijacking

WMI Subscriptions

Windows Services

Terminal Services InitialProgram

Accessibility Tools Backdoor

工具下載

廣大研究人員可以使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/last-byte/PersistenceSniper.git

（向右滑動、查看更多）

工具使用

PersistenceSniper的使用非常簡單，以管理員權限運行PowerShell，然後運行下列命令：

PSC:\>gitclonehttps://github.com/last-byte/PersistenceSniperPSC:\>Import-Module.\PersistenceSniper\PersistenceSniper\PersistenceSniper.psd1PS C:\> Find-AllPersistence

（向右滑動、查看更多）

如果你想保持PersistenceSniper為PowerShell Galley中的最新版本，以管理員權限運行PowerShell，然後運行下列命令即可：

PSC:\>Install-ModulePersistenceSniperPSC:\>Import-ModulePersistenceSniperPS C:\> Find-AllPersistence

（向右滑動、查看更多）

如果你需要了解工具的所有參數和解釋，可以在導入模塊之後運行下列命令：

Get-Help -Name Find-AllPersistence -Full

如果你想檢測單個持久化技術，可以使用Find-AllPersistence的PersistenceMethod參數。比如說，你想通過Run和RunOnce註冊表鍵來檢測持久化植入程序，可以運行下列命令：

PS C:\> Find-AllPersistence -PersistenceMethod RunAndRunOnce

（向右滑動、查看更多）

PersistenceSniper的Find-AllPersistence會返回一個包含了PSCustomObject對象的數組，其中包含下列屬性：

$PersistenceObject=[PSCustomObject]@{'ComputerName'=$ComputerName'Technique'=$Technique'Classification'=$Classification'Path'=$Path'Value'=$Value'AccessGained'=$AccessGained'Note'=$Note'Reference'=$Reference'Signature'=Find-CertificateInfo(Get-ExecutableFromCommandLine$Value)'IsBuiltinBinary'=Get-IfBuiltinBinary(Get-ExecutableFromCommandLine$Value)'IsLolbin'=Get-IfLolBin(Get-ExecutableFromCommandLine$Value)}

（向右滑動、查看更多）

此時我們就可以對輸出進行格式化和過濾了。如果你想查看允許攻擊者獲取NT AUTHORITY\SYSTEM權限的持久化技術，可以運行下列命令：

PS C:\> Find-AllPersistence | Where-Object "Access Gained" -EQ "System"

（向右滑動、查看更多）