Awesome malware persistence

Awesome Malware Persistence ¶

> 精选的恶意软件持久性工具和资源列表.

恶意软件持久性包括对手用来在重启、更改凭据和其他可能切断其访问的中断期间保持对系统的访问的技术. 用于持久性的技术包括允许他们在系统上保持立足点的任何访问、操作或配置更改，例如替换或劫持合法代码或添加启动代码.

Main article about malware persistence 有更多的上下文和信息.

Techniques¶

持久性技术和检测.

Generic¶

• MITRE ATT&CK tactic "TA0003 - Persistence" - MITRE ATT&CK 战术“TA0003 - 坚持”.
• forensic artifact repository - 取证工件存储库涵盖了其工件中的持久性技术.
• Sigma rules - 涵盖持久性技术的 Sigma 规则. 您甚至可以使用诸如“--filter tag=attack.persistence”之类的过滤器，或者专门针对一种技术“tag=attack.t1084”.

Linux¶

• Linux Malware Persistence with Cron - 关于使用 cron 作业的 linux 持久性的博客文章.
• Linux Persistence Techniques - 持久性技术列表.
• Linux Red Team Persistence Techniques - 持久性技术列表.
• ebpfkit - 利用 eBPF 的 Rootkit.
• TripleCross - 利用 eBPF 的 Rootkit.

macOS¶

• theevilbit's series "Beyond the good ol' LaunchAgents" - 除了 LaunchDaemons 或 LaunchAgents 之外的 macOS 持久性列表.
• KnockKnock - 用于 macOS 的持久性检测工具，用于扫描 macOS 上的持久性机制. 具体的持久化位置可以在 plugins 文件夹，例如 LaunchItems 或者 StartupScripts.
• PoisonApple - 通过查看 PoisonApple 的源代码了解各种 macOS 持久性技术.
• How malware persists on macOS - macOS 持久性机制列表.

Windows¶

• Hexacorn's blog - Hexacorn 的持久性类别博客类别，包括系列“Beyond good ol' Run key”.
• Autoruns - 您可以通过在您自己的客户端上查看 Autoruns 的输出来了解检查了哪些 Windows 持久性机制. 在输出中可以看到类别和发现事物的不同位置. Autoruns 的反汇编列出了被扫描的条目的子集.
• PowerShell implementation of Autoruns - 另一种查找 Windows 持久性位置的方法是查看 PowerShell 版本的 Autoruns 的源代码. 奖励：每个 Autoruns 版本的覆盖持久性位置的历史记录也可以在模块文件的末尾找到，这太棒了！
• Common malware persistence mechanisms - 描述了不同向量的不同持久性机制.
• Malware persistence techniques - 对多种持久性机制的良好总结，从多个注册表项到更高级的机制，如 COM 劫持.
• Detecting & Removing an Attacker's WMI Persistence - 关于检测和删除 WMI 持久性的博客文章.
• Windows Persistence using WinLogon - 关于滥用 WinLogon 的博客文章.
• Untangling Kovter's persistence methods - 关于隐藏在注册表中的 Kovter 持久化方法等的博客文章. 另一个是 Threat Spotlight: Kovter Malware Fileless Persistence Mechanism.
• Persistence using GlobalFlags in Image File Execution Options – Hidden from Autoruns.exe - 关于滥用 GlobalFlag 执行流程的博文.
• Uncovering a MyKings Variant With Bootloader Persistence via Managed Detection and Response - 关于引导加载程序持久性的博客文章.
• 关于 COM/CLSID 劫持的各种博客文章
• COM Object hijacking: the discreet way of persistence, 2014
• Persistence – COM Hijacking, 2020
• Abusing COM hijacking in combination with scheduled tasks, 2016
• Hunting for persistence via Microsoft Exchange Server or Outlook - 关于 Microsoft Exchange 服务器持久性的博客文章.

Firmware¶

• MoonBounce: the dark side of UEFI firmware - 一篇关于一个特定 UEFI bootkit 的深入报道.

Persistence Removal¶

用于删除持久性机制的工具和命令. 除了下面提到的工具，使用标准操作系统命令来删除持久性.

Generic¶

• Awesome Incident Response - 使用工具和资源进行安全事件响应，旨在帮助安全分析师和 DFIR 团队.

Windows¶

• PowerSponse - PowerSponse 包括用于清理持久性机制的各种命令.
• Removing Backdoors – Powershell Empire Edition - 各种博客文章处理 WMI 植入物的移除.
• RegDelNull - Removal of registry keys with null bytes - used e.g. in run keys for evasion.

Detection Testing¶

用于测试检测的工具. 使用中描述的技术 Persistence Techniques 创建这些文件或手动添加配置更改以测试您的检测.

• Atomic Red Team - Atomic Red Team 还支持 MITRE ATT&CK 持久化技术，参见 eg T1044 "File System Permissions Weakness".
• hasherezade persistence demos - 恶意软件用于测试自身检测的各种（也是非标准的）持久性方法，其中包括在 repo 中找到的 COM 劫持演示.
• PoisonApple - 在 macOS 上执行各种持久性技术.

Prevention¶

防止恶意持久化的工具.

macOS¶

• BlockBlock - 一种通过监视持久性位置并相应地保护它们来提供持续保护的工具. 类似于 KnockKnock 但用于阻塞.

Collection¶

持久性收集工具.

Generic¶

• Awesome Forensics - 使用此列表中的工具，其中包括非常棒的免费（主要是开源）取证分析工具和资源. 它们有助于大规模收集持久性机制，例如通过使用远程取证工具.
• osquery - 客户端查询持久性机制.
• OSSEC - 使用 HIDS 的规则和日志来检测配置更改.

Linux¶

There is no dedicated persistence collection tool for Linux I'm aware of. Use some of the tools from #General or standard OS commands for collection. Thanks for contributing links to Linux specific persistence collection tools.

• Linux Security and Monitoring Scripts - 安全和监控脚本，可用于监控您的 Linux 安装以了解与安全相关的事件或进行调查. 在其他发现用于恶意软件持久性的 systemd 单元文件中.

macOS¶

• KnockKnock - 一种用于发现持续安装的软件以普遍揭示此类恶意软件的工具. 看 GitHub repository too for the source code.
• Dylib Hijack Scanner or DHS - 一个简单的实用程序，可以扫描您的计算机以查找易受 dylib 劫持或已被劫持的应用程序. 看 GitHub repository too for the source code.

Windows¶

• Autoruns - Windows 上一个强大的持久性收集工具是 Autoruns. 它从实时系统收集不同的类别和持久性信息，并且在 来自离线图像的有限方式. 有一个 UI 和一个命令行程序，输出格式可以设置为 CSV，然后可以将其导入到您选择的日志收集系统中.
• AutorunsToWinEventLog.ps1 - 您可以使用 AutorunsToWinEventLog 脚本将 Autoruns 输出转换为 Windows 事件日志并依赖标准 Windows 事件日志转发，而不是使用 CSV 输出并将这些文件复制到服务器.
• PowerShell Autoruns - Autoruns 的 PowerShell 版本.
• PersistenceSniper - 用于寻找植入 Windows 机器中的持久性的 Powershell 模块.
• RegRipper - 直接从注册表文件中提取各种持久性机制.
• RECmd - 提取各种持久性机制，例如通过使用配置文件 UserClassesASEPs 提取用户的 CLSID 信息.
• KAPE - 该工具允许使用目标和模块收集各种预定义的工件，请参阅 KapeFiles 其中包括持久性机制，除此之外还有一系列 LNK files, scheduled task files 和 scheduled task listing 或 WMI repository auditing 模块.

Contributing¶

欢迎投稿！ 阅读 contribution guidelines 第一的.