backdoor - יצירת משתמש אדמין אשר אינו מופיע בקבוצת administrators

נניח שהשגתי גישה לשרת ואני מעונין להשאיר לי backdoor לפעמים הבאות...
הדרך הפשוטה ביותר היא יצירת יוזר אדמיניסטרטיבי
אבל מה? במקרה של forensics אפשר לעלות על זה שהתווסף יוזר לקבוצת האדמיניסטרטורים.
אז מה עושים במצב כזה?
מסתבר שרמת ההרשאות שאתה מקבל נקבעת ברג'יטרי. אז מה שאני הולך לתאר פה זה איך אני יוצר יוזר אדמיניסטרטיבי בלי שהוא ימצא בקבוצת האדמיניסטרטורים.
שלב ראשון: צריך להפעיל את הregedit בהרשאת system
מכיוון שרק למשתמש system יש הרשאות לKEY הספציפי.
איך מריצים regedit תחת system ?
הצעה אחת היא להפעיל CMD דרך ה tesk scheduler תחת הרשאות system.

הערך F שאתה רואה מקנה לחשבון administrator המקורי את ההרשאות שלו.
אם תיצור יוזר חדש. תתווסף לך ספריה תחת users.

ועכשיו יש לבצע העתקה של הערך F לF של החשבון החדש.אחרי שתתחבר עם היוזר שיצרת, תקבל יוזר אאדמיניסטרטיבי.

אם רוצים להיות extra stelth , במקום ליצור מתשמש חדש - נשנה את ה GUEST או את ה SUPPORT_388945a0

tip by k-zee

mRemote-All your remote connections in one place

mRemote allows you to manage all your remote connections in a single place. It currently

supports the RDP, VNC, SSH, Telnet, RAW, Rlogin, ICA and HTTP/S protocols

אחלה כלי חינמי המרכז לי את כל חיבורי ה REMOTE במקום אחד linux unix windows

בנוסף קיימת תמיכה בהעברת קבצים (SCP) , מהרו והורידו -הם תיכף יתחילו לקחת כסף!

mRemote- download

חקירת המצאות רוגלות במערכת באמצעות פקודות cmd פשוטות

קראתי מאמר של אד סקודיס (san instatute) המדבר על העובדה שחלק גדול מחקירת מחשבים החשודים כנגועים ב mallwares ניתנת לביצוע ע"י שימוש בפקודות built in במערכת ההפעלה.
מניסיוני כאיש אבטחת מידע בארגון גדול , אני נדרש לעתים תכופות לבדוק מחשבים החשודים כ"נגועים" ,ולעתים בזמן בדיקה זו אין ברשותי גישה לכילים מקצועיים וכלי GUI למיניהם. המאמר נותן הסברים לכל פקודה אך אני אחסוך את זה מימני ומימכם (אנחנו כבר מכירים את משמעות הפקודות...)
אז ברוח הOLD SCHOOL להלן מספר פקודות לזיהוי מהיר של יתכנות רוגלות במערכת.

netstat –ano

קבלת מידע על מערך התקשורת TCP UDP +PID בנוסף, החל מ 2SP ניתן להשתמש ב b- המאפשר הצגת התכניות (EXE) המתקשרות על כל פורט בהתאמה .ניתן לזהות במהירות תקשורת על פורטים לא סטנדרטיים +חיפוש הפורט ב GOOGLE , אני ממליץ על חיפוש בסיגנון: insite:mcafee.com port 4444

טבלהזו מציינת פורטים סטנדרטיים של שירותי מערכת -חשוב לדעת למניעת fals positive

*

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce

reg query HKCU\Software\Microsoft\Windows\CurrentVersionRun

מקומות נפוצים ב REGISTRY להמצאות רוגלות - ניתן להסיר את הרשומות החשודות ( לא לשכוח לגבות לפני:))

*

dir /A "C:\Documents and Settings\All Users\Start Menu\Programs\Startup"

ישנם רוגלות הממקמות קבצים בספריה ידועה ונשכחת זו ...

*

'tasklist /svc'

מאפשרת צפיה בתהליכים ובתת תהליכים הרצים במערכת .

*

net users

net localgroup administrators

הצגת משתמשי המערכת - ישנם רוגלות ובוטים (BOTS) המוסיפים משתמשי מערכת - רצוי לבדוק זאת .

wmic startup list full

פקודה שהיתה חדשה לי עד לא מזמן ,מאפשרת קבלת נתונים מפורטים על כל התוכניות והתהליכים העולים ב startup . שימושי ביותר!

עד כאן.

לגבי פקודת WMIC - אני אפרט בפוסט נפרד

אני יותר שהזכרתי כאן נישכחות לחלק מהאנשים ,אך האמינו לי - הפקודות האלה שימושית ביותר .