Window Persistence

Sinh viên thực hiện:

Đào Văn Minh – AT170334

Giảng viên :
TS Lại Minh Tuấn – Khoa An toàn thông tin

Page 1
Khái niệm và Ví Dụ
Window Persistence (Sự kiên trì của cửa sổ) là một khái niệm trong lĩnh vực an ninh
mạng và bảo mật máy tính. Nó thường ám chỉ đến các kỹ thuật và phương pháp để
thực hiện việc duy trì truy cập hoặc thâm nhập vào một hệ thống máy tính thông qua
việc cài đặt mã độc hoặc kỹ thuật tinh vi, giúp cho attacker (người tấn công) có thể
duy trì quyền truy cập vào hệ thống mà không bị phát hiện..

Ví dụ
 Cài đặt dịch vụ tự khởi động
 Thêm vào các khóa Registry
 Thêm vào các tác vụ lên lịch
 Chèn mã độc vào các tệp tin hệ thống
 Sử dụng các kỹ thuật khai thác

Page 2
Chuẩn bị
Sử dụng msfvenom tạo payload

Di chuyển đến /var/www/html

| Page 3
Chuẩn bị
Bật apache

Tấn công hydra, tìm mật khẩu

| Page 4
Chuẩn bị
SSH

Tải payload về lưu vào C:\Users\Minh\AppData và khởi chạy payload

| Page 5
Registry
• reg add: Đây là lệnh để thêm một mục mới vào Registry.
• "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run":
Đây là đường dẫn tới khóa Registry
• /v "Payload": Đây là tùy chọn để chỉ định tên cho mục mới mà bạn đang thêm vào
• /t REG_SZ: Đây là tùy chọn để chỉ định kiểu dữ liệu của mục bạn đang thêm vào
• /d "C:\Users\Minh\AppData\payload.exe“:đường dẫn tới tệp thực thi
• /f: Đây là tùy chọn để yêu cầu xác nhận khi thêm mục mới vào Registry mà không cần
phải xác nhận từ phía người dùng.

| Page 6
Startup Folder

• Copy-Item:sao chép tệp tin.

• -Path "C:\Users\Minh\AppData\payload.exe": Đây là đường dẫn tới tập tin bạn muốn sao
chép.
• -Destination "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup": Đây là
vị trí đích mà bạn muốn sao chép tập tin đến.
• -Force: không cần xác nhận từ phía người dùng

| Page 7
Leo thang lên System
Module exploit/multi/handler là một công cụ trong Metasploit được sử dụng để lắng nghe và
chấp nhận các kết nối từ các payload mà kẻ tấn công đã triển khai

| Page 8
Leo thang lên System
Module exploit/windows/local/bypassuac_fodhelper là một module trong framework Metasploit
được thiết kế để tận dụng lỗ hổng trong tính năng User Account Control (UAC) của hệ điều hành
Windows

| Page 9
 Schedule Task
• $action = New-ScheduledTaskAction -Execute "C:\Users\Minh\AppData\payload.exe".:tạo một hành
động mới cho một tác vụ lên lịch (scheduled task).
• $trigger = New-ScheduledTaskTrigger –AtLogon.:tác vụ sẽ được kích hoạt khi một người dùng đăng
nhập vào hệ thống.
• Register-ScheduledTask -TaskName "PayloadTask" -Action $action -Trigger $trigger -User "System“: tác
vụ lên lịch với tên "PayloadTask", hành động thực thi tập tin "payload.exe" khi một người dùng đăng
nhập vào hệ thống

| Page 10
Window service và Create account

| Page 11
Cảm ơn Thầy cô và
các bạn đã lắng nghe