专栏首页贝塔安全实验室权限维持之打造不一样的映像劫持后门

权限维持之打造不一样的映像劫持后门


0x01 前言

“映像劫持”,也被称为“IFEO”(Image File Execution Options),在WindowsNT架构的系统里,IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时,它的内存分配则根据该程序的参数来设定,而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据,最终得以设定一个程序的堆管理机制和一些辅助机制等。出于简化原因,IFEO使用忽略路径的方式来匹配它所要控制的程序文件名,所以程序无论放在哪个路径,只要名字没有变化,它就运行出问题。

下面呢,我们聊一聊如何打造不一样“映像劫持”后门。

0x02 实验环境

  • 目标机-Windows 7(192.168.43.94)
  • 攻击机-Kali Linux (192.168.43.9)

0x03 传统“映像劫持”Shift后门

传统“映像劫持”,当用户双击对应的程序后,操作系统就会给外壳程序(例如”explorer.exe”)发布相应的指令,其中包含有执行程序的路径和文件名,然后由外壳程序来执行该程序。事实上在该过程中,Windows还会在注册表的上述路径中查询所有的映像劫持子键,如果存在和该程序名称完全相同的子键,就查询对应子健中包含的”dubugger”键值名,并用其指定的程序路径来代替原始的程序,之后执行的是遭到”劫持”的虚假程序。简单点说,当你打开的是程序A,而运行的却是程序B。

大家一定都知道映像劫持后门,在以下注册表中的sethc.exe项添加一个Debugger字符值(REG_SZ),并且赋值为cmd.exe的执行路径为C:\windows\system32\cmd.exe,如图:

IFEO注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

执行命令添加:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"

如上文所述,修改IFEO中的“debugger”键值,用来替换原有程序的执行,键入五下Shift执行sethc.exe程序时会执行cmd.exe程序。

0x04 如何打造不一样的“映像劫持”后门呢?

与上文对比,不一样的“映像劫持”后门是怎样的呢?0x03中所讲述的传统“映像劫持”后门是修改IFEO中的“debugger”键值,用来替换原有程序的执行。而不一样的“映像劫持”后门,实现的效果是:程序A静默退出结束后,会执行程序B

怀揣着0x04的目标我们开始筹备。在网上收集资料时发现, Image File Execution Options下可以设置以下值项,其中GlobalFlag是本次测试的关键点:

DebuggerDisableHeapLookasideShutdownFlagsMinimumStackCommitInBytesExecuteOptionsGlobalFlagDebugProcessHeapOnly......

在MSDN的博客上进一步发现GlobalFlag由gflags.exe控制,文章地址:

https://blogs.msdn.microsoft.com/junfeng/2004/04/28/image-file-execution-options/

下载gflags.exe开始研究,在Silent Process Exit这个选项卡中发现了挺有趣的东西。根据微软官方介绍,从Windows7开始,可以在Silent Process Exit选项卡中,可以启用和配置对进程静默退出的监视操作。在此选项卡中设定的配置都将保存在注册表中。

填写如上图配置后点击应用,开始测试。使用Process Explorer进行检测进程的变化发现键入五下Shift执行时,先执行sethc.exe程序,当sethc.exe程序静默退出时,执行cmd.exe程序,运行效果如下:

0x05 来看一看它的原理

进一步分析,发现其实是工具帮我们添加并修改了IFEO目录下sethc.exe的GlobalFlag值,如图:

以及SilentProcessExit下ReportingMode和MonitorProcess两个项值,如图:

那么,我们只需要需改对应的注册表即可:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v GlobalFlag /t REG_DWORD /d 512
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethc.exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethc.exe" /v MonitorProcess /t REG_SZ /d "C:\windows\system32\cmd.exe"

0x06 接下来,看下最终效果

那么,我们可以修改上文中MonitorProcess值来放我们的后门,例如Python反弹shell,配合五下Shift就可以神不知鬼不觉的进行反连。键入五下Shift后正常弹粘滞键,关闭之后执行我们的Python代码,如图:

我们来看下GIF动图效果:

0x07 如何“破”这种权限维持手法

(1) 流量方面:

服务器主动请求攻击机,如图:

随后,三次握手建立连接,因此当我们看到异常请求或连接时可进行防御措施。

(2) 系统配置方面:

微软windows远程桌面服务为我们提供了两个配置(SecurityLayer、UserAuthentication),如下:

其中UserAuthentication参数可指定在建立远程桌面连接之前如何对用户进行身份验证,如下:

翻译:

用户鉴权即UserAuthentication这个参数的作用,官方文档说明如下:

0:说明是进行远程桌面前不需要用户身份验证。1:说明是进行远程桌面前需要进行用户身份验证。

那么,当我们将该参数设置为1时则可防止黑客利用远程桌面界面键入Shift从而达到防御效果,可以直接执行以下命令修改UserAuthentication注册表值,我们看下效果:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 1 /f

发现我们必须密码输入正确才能弹出远程桌面。

最后,大家可以明白一个道理“不知攻焉知防”,攻击者通过改变UserAuthentication参数方便控制,我们也可以通过它提高防御。

0x08 参考文章

https://blogs.msdn.microsoft.com/junfeng/2004/04/28/image-file-execution-options/

https://blog.csdn.net/johnsonblog/article/details/8165861

http://download.microsoft.com/download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D/setup/WinSDKDebuggingTools_amd64/dbg_amd64.msi

https://oddvar.moe/2018/04/10/persistence-using-globalflags-in-image-file-execution-options-hidden-from-autoruns-exe/

本文分享自微信公众号 - 贝塔安全实验室(BetaSecLab),作者:xiaoYan

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-07-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 打造不一样的Shfit映像劫持后门

    0x00 大家一定都知道映像劫持后门,修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current...

    贝塔安全实验室
  • Chatterbox(hack the box系列)

    Achat Exploit : https://www.youtube.com/watch?v=YgC_Rl6x3aM

    贝塔安全实验室
  • 威胁事件告警分析技巧及处置(一)

    声明:公众号大部分文章来自团队核心成员和知识星球成员,少部分文章经过原作者授权和其它公众号白名单转载。未经授权,严禁转载,如需转载,请联系公众号管理员授权转载白...

    贝塔安全实验室
  • Java基础-面向对象(二)

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    cwl_java
  • 自动化构建工具Maven

    如今我们构建一个项目需要用到很多第三方的类库,一个项目jar包的数量之多往往让我们无法想象,并且jar包之间的关系错综复杂,一个jar包往往又会引用其他jar包...

    wangweijun
  • JVM | 类的初始化及新建过程

    类的初始化主要经历加载->链接(验证,准备,解析)->初始化这些阶段,与JVM中相对应的状态如下图所示

    微笑的小小刀
  • 浮动元素容器的clearing问题

    在CSS规范中,浮动定位不属于正常的页面流(page flow),是独立定位的。所以,只含有浮动元素的父容器,在显示时不考虑子元素的位置,就当它们不存在一样。这...

    ruanyf
  • 前后端分离-搭建本地 mock 服务

    念念不忘
  • 【IT峰播】IT行业数据

    学习猿地
  • Librdkafka的基础数据结构 1 --- 队列

    两个元素: tqh_first: 指向队列的第一个成员; tqh_last: 存的是队列里的最后一个元素的 next指针的变量地址, 这个二级指针太有用了,...

    扫帚的影子

扫码关注云+社区

领取腾讯云代金券