歡迎光臨
我們一直在努力

內網滲透中用到的計劃任務

#紅隊與內網滲透

一些內網滲透中用到的方式:

IPC$登錄以及文件的上傳與下載

命令執行

原文出處:https://xz.aliyun.com/t/2319

波波觀點:排程任務是攻防雙方都要熟悉的線索

Windows 計劃任務在內網滲透中常被用於遠端命令執行、定時執行、持久化與橫向移動。它本身是合法管理功能,因此攻擊者可以混在正常維運行為中。防禦端若只看是否有排程任務存在,通常不夠,還需要看建立者、執行路徑、觸發時間、命令內容與主機關聯。

滲透測試中的觀察重點

  • 任務建立:誰建立、何時建立、在哪台主機建立。
  • 執行內容:是否呼叫 PowerShell、cmd、wscript、rundll32 或可疑路徑。
  • 橫向行為:是否搭配 IPC$、SMB、管理員權限與遠端服務。
  • 持久化:是否設定開機、登入、定時或事件觸發。

防禦與排查建議

Blue Team 可以監控排程任務建立事件、可疑命令列、非標準目錄執行檔與短時間多主機建立任務的行為。事件應變時,建議匯出排程任務清單,比對建立時間與入侵時間線,並檢查任務執行的檔案是否仍存在、是否有外連或憑證操作痕跡。

延伸閱讀

贊(0) 贊助
未經允許不得轉載:波波的寂寞世界 » 內網滲透中用到的計劃任務

波波的寂寞世界

Facebook聯繫我們

覺得文章有幫助,歡迎贊助支持本站

感謝你的支持,我會持續整理資安筆記、實務經驗與有價值的技術內容。

贊助本站