如果未正確配置Windows環境中的服務或這些服務可以用作持久性方法，則這些服務可能導致權限提升。創建一個新的服務需要管理員級別的特權，它已經不是隱蔽的持久性技術。然而，在紅隊的行動中，針對那些在威脅檢測方面還不成熟的公司，可以用來制造進一步的干擾，企業應建立SOC能力，以識別在其惡意軟件 ...

安全支持提供程序（SSP）是Windows API，用於擴展Windows身份驗證機制。LSASS進程正在Windows啟動期間加載安全支持提供程序DLL。這種行為使紅隊的攻擊者可以刪除一個任意 ...

后台打印程序服務負責管理Windows操作系統中的打印作業。與服務的交互通過打印后台處理程序API執行，該API包含一個函數（AddMonitor），可用於安裝本地端口監視器並連接配置、數據和監 ...

屏幕保護是Windows功能的一部分，使用戶可以在一段時間不活動后放置屏幕消息或圖形動畫。眾所周知，Windows的此功能被威脅參與者濫用為持久性方法。這是因為屏幕保護程序是具有.scr文件擴展 ...

Windows快捷方式包含對系統上安裝的軟件或文件位置（網絡或本地）的引用。自從惡意軟件出現之初，便已將快捷方式用作執行惡意代碼以實現持久性的一種方法。快捷方式的文件擴展名是.LNK，它為紅隊提 ...

Windows操作系統提供了一個實用程序（schtasks.exe），使系統管理員能夠在特定的日期和時間執行程序或腳本。這種行為可作為一種持久性機制被red team利用。通過計划任務執行持久性不需要管理員權限，但如果已獲得提升的權限，則允許進一步操作，例如在用戶登錄期間或在空閑狀態期間 ...

在紅隊行動中在網絡中獲得最初的立足點是一項耗時的任務。因此，持久性是紅隊成功運作的關鍵，這將使團隊能夠專注於目標，而不會失去與指揮和控制服務器的通信。在Windows登錄期間創建將執行任意負載的 ...

0x00 前言 　　未知攻焉知防，攻擊者在獲取服務器權限后，通常會用一些后門技術來維持服務器權限，服務器一旦被植入后門，攻擊者如入無人之境。這里整理一些window服務端常見的后門技術，了解攻擊者的常見后門技術，有助於更好去發現服務器安全問題。 常見的后門技術列表： 1、隱藏、克隆賬戶 ...