T1546.010@权限维持武器化

01

—

Windows操作系统的注册表中默认提供了AppInit_Dlls和LoadAppInit_Dlls两个注册表表项。如果LoadAppInit_Dlls的键值设置为1，同时在AppInit_DLLs值中指定动态链接库，那么当机器重启后，指定的动态链接库将由user32.dll加载到加载user32.dll的每个进程中。

依靠这一特性，除非重装系统，否则即便关机重启也可以实现再次上线。

测试过程

• 1、定位注册表表项

AppInit_Dlls 和 LoadAppInit_Dlls两个注册表表项路径：

计算机HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_Dlls计算机HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsLoadAppInit_Dlls

• 2、编辑Dll代码

• 3、修改注册表表项

  
  

3.1：修改AppInit_Dlls 表项，填充编译好的dll路径

3.2：修改LoadAppInit_Dlls的项目值，设置为1

4、重启机器测试效果

查看的Dll_Injection_AppInit_Dlls.dll加载情况，可以看到，Dll_Injection_AppInit_Dlls.dll注入到所有运行进程。

但只有ctfmon.exe进程执行时，加载的Dll_Injection_AppInit_Dlls.dll中的窗口才会弹出执行。

实战过程

1.1、Dll未做限制

1.2、Dll免杀处理

免杀处理非常简单，只需过静态即可，如：@shellcode编码转换；@回调函数加载执行。代码略😁

杀软1

杀软2

杀软3

杀软4

杀软5

2.1、操作注册表

reg add "HKLMSoftwareMicrosoftWindows NTCurrentVersionWindows" /v AppInit_DLLs /t REG_SZ /d "DLL路径" /freg add "HKLMSoftwareMicrosoftWindows NTCurrentVersionWindows" /v LoadAppInit_DLLs /t REG_DWORD /d 1 /f

Unusual Parent-Child Relationship：

2.1、优雅的实现无文件落地问题的两种方式：

@1：c#程序+execute-assembly内存加载

通过c#编写.net程序，在使用时通过cs的execute-assembly命令加载到内存中执行。

但这种方式可能会依赖目标主机的.net版本环境，同时如果稍不注意忘记bypassETW，可能就被检测发现，参考跳跳糖社区《ETW的攻与防》。

@2：RDI+bdllspawn反射加载

RDI，也叫反射Dll注入，简单描述就是与传统的DLL注入方式不同，反射Dll注入不需要将Dll文件写入目标进程的地址空间中，而是利用目标进程中的某些函数，将Dll文件“反射”到目标进程的内存中，从而实现Dl l文件的加载和执行。同时cs也提供了`bdllspawn`来进行反射Dll。

以“RDI+bdllspawn反射加载”的方式既可实现无文件落地，也可避免环境的影响，同时在一定程度上绕过某些检测规则。

编写cs插件代码：

alias appinit_dll {    $args = substr($0, 12);    bdllspawn($1, script_resource("reflective_dll.x64.dll"),$args, "AppInit_Dlls Injection", 5000, false);}

RDI代码略😁

直接在cs上运行插件，输入Dll路径，即可完成权限维持。

至此，T1546.010武器化完成🤓。

好啦~本文内容就到这里啦，我们下期再见！

往期文章

—

• 记录一次金融APP防重放的分析过程

点击下方名片即可关注我们公众号，关注我们，给你带来不一样的精彩！