T1546-007-win-通过netsh key持久化
来自ATT&CK的描述
攻击者可以通过执行Netsh Helper DLL触发的恶意内容来建立持久性。Netsh.exe是一个管理员可以用来在命令提示符处配置并监视基于Windows的计算机的工具。使用Netsh.exe工具,可以将输入的上下文命令定向到适当的帮助器,然后帮助器将执行命令。帮助器是个动态链接库(.dll)文件,它通过提供配置、监视和支持一种或多种服务、实用工具或协议,来扩展Netsh.exe工具的功能。
已注册的netsh.exe帮助程序DLL的路径在Windows注册表HKLM\SOFTWARE\Microsoft\Netsh中
攻击者可以使用netsh.exe帮助程序DLL以持久的方式触发任意代码的执行。该执行将在执行netsh.exe的任何时间执行,该操作可能会自动发生,使用另一种持久性技术,或者在执行netsh.exe作为其正常功能的一部分的系统上存在其他软件(例如VPN)的情况下。
测试案例
建议参考Bypass师傅的Window权限维持(十):Netsh Helper DLL
检测日志
windows sysmon日志
测试复现
建议参考Bypass师傅的Window权限维持(十):Netsh Helper DLL
测试留痕
当执行“ 添加帮助程序 ”命令以加载DLL文件时,将在以下位置创建注册表项。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NetSh
检测规则/思路
sigma检测规则
title: 通过netsh key持久化
status: experimental
description: 攻击者可以使用netsh.exe帮助程序DLL以持久的方式触发任意代码的执行
references:
- https://github.com/redcanaryco/atomic-red-team/blob/910a2a764a66b0905065d8bdedb04b37049a85db/atomics/T1546.007/T1546.007.md#atomic-test-1---netsh-helper-dll-registration
- https://eqllib.readthedocs.io/en/latest/analytics/5f9a71f4-f5ef-4d35-aff8-f67d63d3c896.html
date: 2020-11-29
tags:
- attack.t1546-007
author: 12306Br0
logsource:
product: windows
service: sysmon
detection:
selection_registry:
EventID: 13 #创建注册表值 sysmon日志
Registry_path: "*\\Software\\Microsoft\\NetSh\\*"
condition: selection
level: medium
其他建议
暂无
参考推荐
MITRE-ATT&CK-T1546-007
https://attack.mitre.org/techniques/T1546/007/
Window权限维持(十):Netsh Helper DLL