搜索

[12108] 2017-12-09_如何利用日志来监控和限制PowerShell攻击活动

文档创建者:s7ckTeam
浏览次数:19
最后更新:2025-01-18
2017-12-09_如何利用日志来监控和限制PowerShell攻击活动 P o w e r S h e l l A l p h a _ h 4 c k   F r e e B u f   2 0 1 7 - 1 2 - 0 9 P o w e r S h e l l P o w e r S h e l l W i n d o w s 使 使 P o w e r S h e l l P o w e r S h e l l P o w e r S h e l l 使 P o w e r S h e l l P o w e r S h e l l W i n d o w s W i n d o w s P o w e r S h e l l P o w e r S h e l l 使 S t a r t - P o r c e s s I n v o k e - I t e m I n v o k e - E x p r e s s i o n   ( - I E X ) S y s t e m . n e t . W e b c l i e n t 使 ( N e w - o b j e c t   S y s t e m . n e t . w e b c l i e n t ) . D o w n l o d F i l e ( ) ( N e w - o b j e c t   S y s t e m . n e t . W e b c l i e n t ) . D o w n l o a d S t r i n g ( ) ( N e w - o b j e c t   S y s t e m . n e t . w e b c l i e n t ) . D o w n l o d F i l e ( ) 使 使 X a m p p h t t p / h t t p s
e v i l f i l e . t x t , $ A p p d a t a C : U s e r s k i r t a r _ o z a A p p D a t a R o a m i n g 使 I n v o k e - I t e m 使 . d o w n l o a d f i l e ( ) 使 A p p d a t a 使 S t a r t - P r o c e s s P o w e r S h e l l ( N e w - o b j e c t   S y s t e m . n e t . W e b c l i e n t ) . D o w n l o a d S t r i n g ( )
D o w n l o a d S t r i n g ( ) 使 P o w e r s h e l l   C o m m a n d 广 使 c m d . j s c a l c . e x e 使 D o w n l o a d S t r i n g ( ) D o w n l o d F i l e ( ) D o w n l o a d S t r i n g ( ) P H P P o w e r S h e l l 使 P o w e r S h e l l I o C W i n d o w S t y l e   h i d d e n   /   - w   h i d d e n :   E x e c   B y p a s s :   R e s t r i c t e d C o m m a n d   /   - c   :   P o w e r S h e l l E n c o d e d C o m m a n d   /   - e   /   - E n c :   N o p   /   - N o p r o f i l e   :   P r o f i l e
I o C P o w e r S h e l l P o w e r S h e l l P o w e r S h e l l e x p l o r e r . e x e 使 E x p l o r e r . e x e P o w e r S h e l l . e x e P o w e r S h e l l P o w e r S h e l l P o w e r S h e l l . e x e c m d . e x e P o w e r S h e l l I o C c m d . e x e   w i n w o r d . e x e m s h t a . e x e w s c r i p t . e x e w u a p p . e x e P o w e r S h e l l -   w i n w o r d . e x e P o w e r S h e l l w i n w o r d . e x e - c m d . e x e P o w e r S h e l l w i n w o r d . e x e c m d . e x e w i n w o r d . e x e w i n w o r d . e x e P o w e r S h e l l - m s h t a . e x e w s c r i p t . e x e w u a p p . e x e t a s k i n g . e x e P o w e r S h e l l P o w e r S h e l l P o w e r S h e l l 使 D o w n l o a d F i l e ( ) ,   W i n d o w s P o w e r S h e l l W i n d o w s I o C E v e n t I D , P o w e r S h e l l W i n d o w s I D   4 6 8 8 - 使 G P O 访 [ ] I D   4 6 8 8 S I E M 使 P o w e r S h e l l
1 .   2 .   3 .   S p l u n k P o w e r S h e l l P o w e r S h e l l P o w e r S h e l l . e x e I D   4 6 8 8 使 P o w e r S h e l l P r o c e s s _ C o m m a n d _ L i n e P o w e r S h e l l   e ,   - E n c o d ,   - w i n d o w s t y l e   , B y p a s s   ,   - c   ,   - c o m m a n d W i n d o w s   1 0 W i n d o w s   S e r v e r   2 0 1 6 I D   4 6 8 8 C r e a t o r   P r o c e s s   N a m e
P o w e r S h e l l I D   4 6 8 8 P o w e r S h e l l P o w e r S h e l l P o w e r S h e l l *   s e c u r i t y a f f a i r s F B A l p h a _ h 4 c k F r e e B u f . C O M
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理