本帖最后由 360fans_83319470 于 2022-5-20 09:10 编辑
请大家看一下图片
威胁描述攻击者通过WMI功能实现代码执行
攻击迹象检测到疑似远程调用WMI执行进程的行为,其命令行是 cmd.exe /Q /c cd 1> //127.0.0.1/ADMIN$/__1652208748.2799714 2>&1
风险危害攻击者可通过远程命令,在当前设备上执行任意命令
进程名wmiprvse.exe
进程用户名NETWORK SERVICE
进程ID7724
目标进程映像路径C:/Windows/system32/cmd.exe
目标进程PID8232
目标进程用户
进程命令cmd.exe /Q /c cd 1> //127.0.0.1/ADMIN$/__1652208748.2799714 2>&1
360社区
|
|
|
|
评论
直达楼层