专栏首页信安之路通过 DCOM 的 ShellWindows & ShellBrowserWindow 进行横向渗透

通过 DCOM 的 ShellWindows & ShellBrowserWindow 进行横向渗透

翻译作者:Nirvana(信安之路红蓝对抗小组成员) 成员招募:信安之路红蓝对抗小组招募志同道合的朋友

这个系列的文章翻译由信安之路红蓝对抗小组的所有成员共同完成,后续将陆续发布,敬请期待!

Threat Hunting#16 — 通过 DCOM 的 ShellWindows & ShellBrowserWindow 进行横向渗透

Windows 分布式组件对象模型(DCOM)是一种透明的中间件,它使用远程过程调用(RPC)技术将组件对象模型(COM)的功能扩展到本地计算机之外。COM 是支持软件对象之间交互的 Windows 应用程序编程接口(API)的组件。通过COM,客户机对象可以调用服务器对象的方法,这些对象通常是动态链接库(dll)或可执行文件(exe)

与本地和远程服务器 COM 对象交互的权限由访问控制列表(ACL)在注册表中决定。默认情况下,只有管理员可以通过 DCOM 远程激活和启动 COM 对象。

攻击者可使用 DCOM 进行横向移动,通过 DCOM,攻击者可在拥有适当权限的情况下通过 Office 应用程序以及包含不安全方法的其他 Windows 对象远程获取任意甚至直接的 shellcode 执行。

在本篇文章中,我们将主要关注与以下两个 COM 对象的使用相关的关键检测指标:

ShellWindows(clsid=9ba05972-f6a8-11cf-a442-00a0c90a8f39)

shellbrowserwindow(clsid=c08afd90-f2a1-11d1-8455-00a0c91f3880)

使用这些 COM 对象的优势在于,从父进程和子进程的关系来看,它看起来是合法的,因为攻击者远程执行的任何操作(例如,cmd.exe、powershell.exe 等)都将是 explorer.exe 的子进程。在这两个方法的执行过程中,我们观察到唯一可靠的指标是 explorer.exe 将绑定到监听的本地 TCP 端口(rpc 动态 TCP 端口 >=49152)。这是非常可疑的(explorer.exe 很少有网络连接,如果有,它将绑定到 Microsoft IP 范围,而不是高 TCP 端口到高 TCP 端口)

下面是使用 dcom\shellbrowserwindow com 对象远程执行 cmd.exe 时的示例:

Detection:

CBR:

进程名:explorer.exe and ipport:[49152 TO *] and netconn_count:[1 TO *]

我们可以使用安全日志 5158 来检测相同的行为:

IBM 查询语句:

select sourceport, destinationport from events where eventid=5158 and UTF8(payload) IMATCHES '(?i)(.*explorer.exe.*)' last 30 DAYS

参考文献:

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=5158

https://enigma0x3.net/2017/01/23/lateral-movement-via-dcom-round-2/

https://attack.mitre.org/techniques/T1175/

原文地址

https://blog.menasec.net/2019/02/threat-hunting-18-lateral-movement-via.html

Threat Hunting #17 -可疑的系统时间变化

安全事件 4616 记录系统时间的更改。合法的系统时间变化将有一下特征:

svchost.exe 作为进程名

NT AUTHORITY\LOCAL SERVICE 作为帐户名

参考文献:

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4616

原文地址

https://blog.menasec.net/2019/02/threat-hunting-19-suspicious-system.html

Threat Hunting #18 -Run/RunOnce - Shell-Core EID 9707/9708

使用 Microsoft Windows Shell Core/Operational EID 9707/9708(默认情况下打开)检测从 run/runonce 自启动位置运行的命令行进程,有利于取证,获取执行历史和计数。

事件文件路径:

%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Shell-Core%4Operational.evtx

以下是一台计算机正在运行或从 run/run one 运行的程序的案例:

这些事件对于查找使用 run 或 runone 作为启动机制来感染的痕迹非常有价值。

原文地址

https://blog.menasec.net/2019/02/threat-hunting-20-runrunonce-eid.html

本文分享自微信公众号 - 信安之路(xazlsec),作者:Nirvana

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-05-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • windows提权系列上篇

    在渗透测试中,提升自己的权限是经常遇到的问题,往往在渗透中最容易获取的权限就是一个webshell,如果网站是架设在Windows系统上的,这时就可能遇到这样的...

    信安之路
  • 与其感慨路难行,不如马上出发

    大家好,我是 B1aK2,一名正在信息安全道路上前行的新人。通过之前一段时间的学习终于完成了百分成就:

    信安之路
  • 打造属于自己的 Wi-Fi “DOS” 攻击工具——Wi-Fi_deauther

    一块不起眼的板子,可能在一些人眼中他就没有利用价值,而另一些人却看到了不一样的板子,当我们赋予了他新的生命力,他就会焕然一新,工具的价值取决于人,当你赋予了他什...

    信安之路
  • 「自然语言处理(NLP)」“句子向量可直接用二进制表示??”

    本文共计两篇paper,第一篇主要针对常规的句子向量表示需要占用大量内存的问题,创新性的采用二值化来表示句子向量从而减少资源消耗,提高低配资源平台的适用...

    ShuYini
  • OneManager搭建教程

    OneManager和其他的索引程序一样都是 onedrive的目录程序通过网站直接去访问onedrive的文件,可以实现直链下载,网页在线观看视频等其他操作

    林祈
  • 币圈隐患接连不断,币小秘为你保驾护航

    近年来,数字货币市场的迅猛发展,为无数的投资者带来了利润,同时也拉动了市场经济的发展。但是我们在看到数字货币强势发展的同时,也应该注意到在数字货币...

    币小秘
  • 中流砥柱java的动态代理

    在我们学习Spring框架的时候我们是否思考过,Spring是如何实现bean实列注入到IOC容器中呢?我们如何去

    居士
  • 可能是最全最易记的CSS选择器分类大法

    最近查看了几位同事的代码,发现很多CSS书写习惯都是清一色的类名而没有相应的选择器,层层嵌套的标签都包含至少一个类名。有些同学会问,很多文章都说「选择器」有性能...

    JowayYoung
  • java中的二进制运算及使用场景

    二进制就是只有0和1这两个数.这和我们现实很多场景都类似, 如男/女,是/否,是否已读等.那么对一个主体的描述, 我们可以有一个二进制串来标识一系列的flag.

    黄泽杰
  • Python  word实现读取及导出代码解析

    这两句均是设置字体为仿宋_GB2312,之所以要两种格式写两遍,是因为word对中文支持不太友好,需要再填一句

    砸漏

扫码关注云+社区

领取腾讯云代金券