0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

浅析Wireshark流量添加计划任务行为检测

哆啦安全 来源:弥天安全实验室 作者:奥村燐 2022-10-19 09:10 次阅读

0x00故事是这样的

1.添加任务计划命令其实有两个:

①.at命令是Windows自带的用于创建计划任务的命令,但是at命令只在2003及以下的版本使用。

②.schtasks命令(在2008及以后的系统中已经将at命令废弃,改用schtasks命令代替了at命令)。

2.下面是自己之前本地搭建环境抓取的数据包,其中包含了at命令和schtasks命令产生的流量。

9f72d7fa-4f46-11ed-a3b6-dac502259ad0.png

3.其中at命令的特征还是比较明显的

①.执行命令at \XXXXXXX1600 cmd.exe /c "命令 > c: esult.txt"

②.先通过SMB建立IPC链接。

③.创建一个请求文件,调用一个RPC绑定。

④.然后发送一个JobAdd请求到at服务。

9f9640fa-4f46-11ed-a3b6-dac502259ad0.png

4.ATSVC的UUID:1ff70682-0a51-30e8-076d-740be8cee98b

9fe34292-4f46-11ed-a3b6-dac502259ad0.png

5.JobAdd请求特征还是比较明显的,这个属于强特征。

a0129d12-4f46-11ed-a3b6-dac502259ad0.png

6.所以排查at命令的思路就是筛选出来所有的JobAdd请求,条件是:atsvc.opnum==0,这个时候只要排查Command里面的数据就行了。

a0385372-4f46-11ed-a3b6-dac502259ad0.png

7.第二个命令schtasks的特征已经不是很明显了。

①.其中运行方式有两种,第一种需要建立IPC,然后再执行schtasks命令。

a0572ce8-4f46-11ed-a3b6-dac502259ad0.png

②.第二种运行方式已经不需要建立IPC,这个命令可以直接输入/u /p进行帐号认证,搜索smb可以发现已经没有ipc认证的步骤了。

a088b452-4f46-11ed-a3b6-dac502259ad0.png

a0ad29ae-4f46-11ed-a3b6-dac502259ad0.png

③.并且创建任务的时候,和at命令又不一样了,在绑定RPC之后,所有的opnum操作都是加密数据的,我们根本不知道,是恶意的还是正常业务。

a0ec15ec-4f46-11ed-a3b6-dac502259ad0.png

④.可以搜索下面这个条件

dcerpc.cn_bind_to_uuid==86d35949-83c9-4044-b424-db363231fd0c

⑤.先筛选出来所有调用了schtasks命令的数据包。

a123546c-4f46-11ed-a3b6-dac502259ad0.png

⑥.然后我们如何知道加密的参数是否是恶意的呢?我们可以使用多个行为进行关联。

⑦.场景假设,攻击者是个小白,会同时去尝试at命令和schtasks命令。

⑧.如果只有一条schtasks命令的数据包,不算是攻击行为,但是如果一个源IP同时触发at命令+schtasks命令,可以判断是一次是攻击行为。

a17f1874-4f46-11ed-a3b6-dac502259ad0.png

8.最后通过分析做的一个总结:

①.at命令的行为特征属于强特征,比较明显,通常不需要关联多个异常行为进行判断。

②.schtasks命令的行为特征属于弱特征,不太明显,我们可以使用多个行为进行关联判断。

9.假设schtasks攻击场景:

①.短时间内触发schtasks命令+多台机器3389(ssh登录)可以产生一次攻击告警行为。

②.短时间内触发schtasks命令+多个web系统登录行为可以产生一次攻击告警行为。

③.短时间内触发schtasks命令+TCP连接同一个源IP多个端口可以产生一次攻击告警行为。

10.以上场景的行为可以相互进行叠加,短时间叠加的越多,存在攻击行为的可能性越大。







审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • RPC
    RPC
    +关注

    关注

    0

    文章

    111

    浏览量

    11532
  • SMB
    SMB
    +关注

    关注

    0

    文章

    38

    浏览量

    11761
  • AT命令
    +关注

    关注

    0

    文章

    19

    浏览量

    8841
  • UUID
    +关注

    关注

    0

    文章

    22

    浏览量

    8125

原文标题:Wireshark流量分析之添加计划任务行为检测

文章出处:【微信号:哆啦安全,微信公众号:哆啦安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    wireshark(1)——ubuntu下解决wireshark权限问题

    wireshark要监控eth0,但是必须要root权限才行。但是,直接用root运行程序是相当危险,也是非常不方便的。解决方法如下: 1.添加wireshark用户组 sudo groupadd
    发表于 01-08 10:18

    wireshark2——ubuntu系统下wireshark普通用户抓包设置

    sudo的方式用root打开Wireshark显然是不安全的,也不是很方便,因为得到的封包数据也属于root用户。解决这个问题的办法——可以使用用户组功能使用Wireshark,具体操作: 1、添加
    发表于 01-08 10:19

    详解linux定时任务

    定时执行程序,实现脚本中的功能,在linux是通过etc/init.d/crond这个服务来实现计划任务
    发表于 07-25 06:12

    Windows 10添加默认电源计划相关资料分享

    Windows 10添加默认电源计划添加计划的命令添加计划的命令powercfg -duplicatescheme [id]将[id]替换成相应的电源
    发表于 12-27 08:13

    二进制加计数器浅析

    二进制加计数器
    发表于 11-24 14:31 6次下载

    Firefox 75附带一个新的计划任务 可自动收集遥测数据以帮助Mozilla改进这款浏览器

    外媒报道称,几天前发布的 Firefox 75 软件,在 Windows 中附带了一个新的计划任务。在用户选择开启之后,它便可每日收集可用的遥测数据,以帮助 Mozilla 改进这款浏览器。其实早在
    的头像 发表于 04-10 16:12 1580次阅读

    基于Android的APP安全检测技术浅析

    基于Android的APP安全检测技术浅析
    发表于 06-28 16:03 16次下载
    基于Android的APP安全<b class='flag-5'>检测</b>技术<b class='flag-5'>浅析</b>

    Windows 10添加默认电源计划

    Windows 10添加默认电源计划添加计划的命令添加计划的命令powercfg -duplicatescheme [id]将[id]替换成相应的电源
    发表于 01-05 14:09 0次下载
    Windows 10<b class='flag-5'>添加</b>默认电源<b class='flag-5'>计划</b>

    WireShark的常用操作

    络封包和流量分析领域有着十分强大功能的工具,深受各类网络工程师和网络分析师的喜爱。 本文主要内容包括: 1、Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容
    的头像 发表于 05-26 15:16 683次阅读
    <b class='flag-5'>WireShark</b>的常用操作

    工业智能网关BL110应用之二十六: 如何配置任务计划

    鼠标左键双击“任务计划”,弹出任务计划设置框,鼠标光标放在方框内,鼠标右键弹出操作框,点击“添加”,弹出
    的头像 发表于 09-07 14:58 462次阅读
    工业智能网关BL110应用之二十六: 如何配置<b class='flag-5'>任务</b><b class='flag-5'>计划</b>

    wireshark是什么软件 wireshark安装教程

    Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像
    发表于 09-13 16:26 0次下载

    Wireshark抓包原理及使用教程

    Wireshark使用的环境大致分为两种,一种是电脑直连网络的单机环境,另外一种就是应用比较多的网络环境,即连接交换机的情况。 「单机情况」下,Wireshark直接抓取本机网卡的网络流量; 「交换机情况」下,
    的头像 发表于 11-19 15:05 6190次阅读
    <b class='flag-5'>Wireshark</b>抓包原理及使用教程

    linux定时任务的用法总结

    习惯了使用 windows 的计划任务,使用 linux 中的 crontab 管理定时任务时很不适应。
    的头像 发表于 08-14 18:16 840次阅读
    linux定时<b class='flag-5'>任务</b>的用法总结

    Linux计划任务crontab运行脚本不正确的问题

    写好的程序希望在崩溃之后能够自启动,于是利用linux的crontab功能,添加一个计划任务,每分钟执行一个脚本查看需要监控的进程是否还在,如果不在则启动之,否则不做任何事情。这么一个简单的脚本在crontab中运行和在shell终端手工运行的结果却不一样。
    的头像 发表于 10-23 13:36 446次阅读

    Linux计划任务介绍

    1.计划任务(定时任务)基本概述 1.什么是crond crond就是计划任务,类似于我们平时生活中的闹钟。定点执行。 2.为什么要使用crond crond主要是做一些周期性的任务
    的头像 发表于 11-24 15:49 276次阅读