专栏首页贝塔安全实验室打造不一样的Shfit映像劫持后门

打造不一样的Shfit映像劫持后门

本文作者:xiaoYan(贝塔安全实验室-核心成员)

实验环境:

  • 目标机:Windows7
  • 攻击机:Kali Linux

演示过程:

最近研究留后门姿势发现一个比较有意思的跟大家分享一下,大佬勿喷!

0x00 大家一定都知道映像劫持后门,修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下sethc.exe,添加一个Debugger字符值(REG_SZ),并且赋值为cmd.exe的执行路径为C:\windows\system32\cmd.exe,如图:

0x01 如上文所述,修改IFEO中的“debugger”键值,用来替换原有程序的执行。如:键入五下Shift执行sethc.exe程序时会执行cmd.exe程序。

0x02 与上文对比,不一样的Shift后门是怎样的呢?实现效果:键入五下Shift执行时,先执行sethc.exe程序,当sethc.exe程序静默退出时,执行cmd.exe程序。

0x03 怀揣着0x02的目标我们开始复现,在网上收集资料时发现,注册表Image File Execution Options下有一个GlobalFlag项值,在MSDN的博客上,发现GlobalFlag由gflags.exe控制。

文章地址:

https://blogs.msdn.microsoft.com/junfeng/2004/04/28/image-file-execution-options/

0x04 下载gflags.exe开始研究,在Silent Process Exit这个选项卡中发现了挺有趣的东西。根据微软官方介绍,从Windows7开始,可以在Silent Process Exit选项卡中,可以启用和配置对进程静默退出的监视操作。在此选项卡中设定的配置都将保存在注册表中。

0x05 填入如上配置后点击应用,开始测试。使用Process Explorer进行检测进程的变化发现键入五下Shift执行时,先执行sethc.exe程序,当sethc.exe程序静默退出时,执行cmd.exe程序。

0x06 进一步研究,发现其实是工具帮我们添加并修改了IFEO目录下sethc.exe的GlobalFlag值,如图:

以及SilentProcessExit下ReportingMode和MonitorProcess两个项值,如图:

0x07 那么,接下来我们可以修改上文中MonitorProcess值来放我们的后门,例如Powershell反弹shell,配合五下Shift就可以神不知鬼不觉的进行反连。如:键入五下Shift后正常弹粘滞键,关闭之后执行我们的powershell代码,如图:

0x08 脑补一下连接成功的画面~实验结束,希望大佬勿喷。

参考文章:

https://blogs.msdn.microsoft.com/junfeng/2004/04/28/image-file-execution-options/

https://blog.csdn.net/johnsonblog/article/details/8165861

http://download.microsoft.com/download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D/setup/WinSDKDebuggingTools_amd64/dbg_amd64.msi

本文分享自微信公众号 - 贝塔安全实验室(BetaSecLab),作者:xiaoYan

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-10-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 常见反病毒进程/服务/识别总结

    服务名:GDScan(G Data扫描器)、AVKWCtl(G Data文件系统实时监控)、AntiVirusKit Client(G Data安全软件客户端)...

    贝塔安全实验室
  • 权限维持之打造不一样的映像劫持后门

    “映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系...

    贝塔安全实验室
  • Chatterbox(hack the box系列)

    Achat Exploit : https://www.youtube.com/watch?v=YgC_Rl6x3aM

    贝塔安全实验室
  • 免杀技巧-执行系统命令方式总结

    “在渗透测试中,常常会遇到这种情况,上传一个shell上去,连上,却发现无法调用cmd.exe无法执行系统命令,这时候你往往想着,上传一个自己的cmd.exe上...

    Gamma实验室
  • 练手之经典病毒熊猫烧香分析(上)

    七夜安全博客
  • 监控网络流量?支付宝安全控件“附赠”的可疑进程

    阿里巴巴支付宝的一个进程Alipaybsm.exe被怀疑监控网络流量,它会复制发送的数据到接收缓冲中。 在接下来的篇幅中,我要讲一个目前还没结束的故事。故事可...

    FB客服
  • 【转】 COM 免注册技术

    今天实际应用时,又进行了一些测试,发现与以前看到资料中一些不同的表现,见最后的【补充】部分

    静谧的小码农
  • 初探伪装在Office宏里的反弹Shell

    通常的钓鱼邮件场景中office的安全问题一直都受到关注,恶意宏文档制作简单,兼容性强,并且攻击成本较小,所以整体占比较大。但是使用恶意宏进行攻击,往往需要用户...

    FB客服
  • [干货基础]域渗透学习

    Kerberos是一种由MIT提出的一种计算机网络授权协议,旨在通过使用加密技术为客户端/服务端应用程序提供强大的认证服务。域内访问其他应用应遵循服务Kerbe...

    天钧
  • 设置一个计划任务,到了时间就运行代码

    其实这篇文章的内容很简单,说白了就是设置一个计划任务,当触发到设定的条件后就运行。

    伪君子

扫码关注云+社区

领取腾讯云代金券