如果未正確配置Windows環境中的服務或這些服務可以用作持久性方法，則這些服務可能導致權限提升。創建一個新的服務需要管理員級別的特權，它已經不是隱蔽的持久性技術。然而，在紅隊的行動中，針對那些在威脅檢測方面還不成熟的公司，可以用來制造進一步的干擾，企業應建立SOC能力，以識別在其惡意軟件 ...

Windows操作系統包含各種實用程序，系統管理員可以使用它們來執行各種任務。這些實用程序之一是后台智能傳輸服務（BITS），它可以促進文件到Web服務器（HTTP）和共享文件夾（SMB）的傳輸能力。Microsoft提供了一個名為“ bitsadmin ” 的二進制文件 ...

安全支持提供程序（SSP）是Windows API，用於擴展Windows身份驗證機制。LSASS進程正在Windows啟動期間加載安全支持提供程序DLL。這種行為使紅隊的攻擊者可以刪除一個任意的SSP DLL以便與LSASS進程進行交互並記錄該進程中存儲的所有密碼，或者直接用惡意的SSP ...

后台打印程序服務負責管理Windows操作系統中的打印作業。與服務的交互通過打印后台處理程序API執行，該API包含一個函數（AddMonitor），可用於安裝本地端口監視器並連接配置、數據和監視器文件。此函數能夠將DLL注入spoolsv.exe進程，並且通過創建注冊表項，red team ...

Windows快捷方式包含對系統上安裝的軟件或文件位置（網絡或本地）的引用。自從惡意軟件出現之初，便已將快捷方式用作執行惡意代碼以實現持久性的一種方法。快捷方式的文件擴展名是.LNK，它為紅隊提 ...

Windows操作系統提供了一個實用程序（schtasks.exe），使系統管理員能夠在特定的日期和時間執行程序或腳本。這種行為可作為一種持久性機制被red team利用。通過計划任務執行持久性不需要管理員權限，但如果已獲得提升的權限，則允許進一步操作，例如在用戶登錄期間或在空閑狀態期間 ...

參考網址: https://blog.csdn.net/xylary/article/details/1737627 https://www.windows-commandline.com/con ...

在紅隊行動中在網絡中獲得最初的立足點是一項耗時的任務。因此，持久性是紅隊成功運作的關鍵，這將使團隊能夠專注於目標，而不會失去與指揮和控制服務器的通信。在Windows登錄期間創建將執行任意負載的 ...