로딩
요청 처리 중입니다...

200723_Detecting & Removing an Attacker's WMI Persistence

200723_Detecting & Removing an Attacker's WMI Persistence

200723_Detecting & Removing an Attacker's WMI Persistence WMI 에 등록된 필터를 확인하기 위해 만든 스크립트이다. 파워쉘 스크립트 bypass를 위해 배치파일을 이용해서 파워쉐를 실행하였다. 1번 메뉴를 이용해 등록된 WMI 필터정보를 확인하고, 2번 메뉴를 통해 등록된 필터를 삭제한다. # 1번 메뉴로 WMI필터정보를 확인할 때 문자열을 입력받아 현 디렉토리에 IP정보를 포함한 파일명으로 저장한다.

(지금 소스는 해당PC의 IP를 고유문자열로 사용했다.) ## WMI_Security_Script.bat ## _main_source_code(WMI Persistence).ps1...

200723_Detecting & Removing an Attacker's WMI Persistence에 대한 요약내용입니다.

자세한 내용은 아래에 원문링크를 확인해주시기 바랍니다.

원문 링크 : 200723_Detecting & Removing an Attacker's WMI Persistence

등록된 다른 글

161103_ 멀버타이징 랜섬웨어
161103_ 멀버타이징 랜섬웨어
171117_lnk 악성파일 분석_원격제어툴
171117_lnk 악성파일 분석_원격제어툴
180502_GandCrab 랜섬웨어
180502_GandCrab 랜섬웨어
190319_갠드크랩 v5.2(word 매크로)
190319_갠드크랩 v5.2(word 매크로)
190523_ISO악성코드(PDF.EXE)-Remcos RAT(v2.4.5 pro)
190523_ISO악성코드(PDF.EXE)-Remcos RAT(v2.4.5 pro)
191018_엑셀매크로 악성코드(wsus_Ammyy RAT)
191018_엑셀매크로 악성코드(wsus_Ammyy RAT)