工作组权限维持(下)

  • A+
所属分类:安全文章

工作组权限维持(下)

工作组权限维持(下)


在攻击者拿到工作组某台成员主机的账号密码后,为防止密码被改,需要使用隐蔽后门等手段来维持取得的计算机权限。将二进制文件放在Windows启动项目录中是最简单的方式,但是隐蔽性差,较主流的工作组权限维持通常有三种,本篇讲第三种基于系统功能特性的权限维持,部分前面提及的后门方式也可归入此类。


一、MSDTC


MSDTC(Microsoft Distributed Transaction Coordinator)是Windows操作系统启动微软分布式事务处理协调器的服务,该服务跟随Windows操作系统默认启动。其对应进程msdtc.exe位于C:WindowSystem32目录下,该进程调用系统Microsoft Personal Web Server和Microsoft SQL Server。该服务用于管理多个服务器,是一个并列事务,是分布于两个以上的数据库,消息队列,文件系统或其他事务保护资源管理器。MSDTC存在于组环境和域环境中,其RPC使用的端口为135。


检查MSDTC服务,效果如下所示:


工作组权限维持(下)


检查MSDTC服务是否启动,也可使用netstat -ano观察135处于监听状态。

检查服务启动,效果如下所示:


工作组权限维持(下)


 MSDTC服务启动时会搜索注册表路径 HKEY_LOCAL_MACHINESOFTWAREMicrosoft MSDTCMTxOCI它加载有oci.dll、SQLLib80.dll xa80.dll 这3 个DLL文件。


查看加载DLL数据,效果如下所示:


工作组权限维持(下)


通常情况下,在计算机中不存在oci.dll文件,于是攻击者可以将恶意的DLL文件命名为oci.dll,并保存在C:WindowsSystem32目录下加以利用。在MSDTC重启后系统将加载并执行该恶意DLL文件从而打开计算器程序。


系统加载恶意文件并成功打开计算器程序,效果如下图所示:


工作组权限维持(下)


二、映像劫持


映像劫持(Image File Execution Options)技术。实现执行A程序的同时执行B程序。当域成员机器更新完组策略后,会运行cmd.exe和calc.exe程序。你可以根据需求对cmd.exe和calc.exe程序进行修改。


未更新组策略注册表项,如下图所示:   



工作组权限维持(下)



更新组策略后注册表项,如下图所示:


工作组权限维持(下)


三、任务计划


任务计划是Windows操作系统自带的功能,在每个操作系统中都存在,主要用于定期运行或在指定时间内运行命令和程序。任务计划有两种操作方式一种方式是使用Schtasks. exe命令行工具进行操作。输入Schtasks /Create /?命令可查看参数列表。


查看参数列表,效果如下所示:


工作组权限维持(下)


另一种方式是在“控制面板”中打开任务计划程序,通过图形化界面进行操作。


通过GUI界面操作任务计划程序,效果如下所示:


工作组权限维持(下)


接下来 利用任务计划程序来进行测试。现在有个任务:在每天13:20运行指定文件且该文件执行后会弹出alice信息提示对话框。测试第一步在“任务计划程序窗口中点击“创建基本任务”得到下一步界面 单击“下一步''按钮继续操作。


创建先导,效果如下所示:


工作组权限维持(下)


选择任务执行的时间,如每天、每周、每月、一次、计算机启动时或当前用户登录时等。这里选择“每天”,然后单击“下一步”按钮。


选择每日的执行时间。选择每日13:20 执行指定的可执行文件,然后单击“下一步"按钮。


选择任务操作动作,如启动程序、发邮件或显示消息等。这里选择“启动程序”,并指定可执行文件的路径及参数(alice.exe不需要参数,所以留空白),然后单击“下一步”按钮。


工作组权限维持(下)


单击“完成"按钮,计划任务添加完毕。到4:34时,任务计划自动执行并弹出桌面信息提示对话框。


自动执行弹出提示对话框,效果如下所示:


工作组权限维持(下)


在上面的例子中,权限维持的方法是在特定时间点执行桌面上的alice.exe,此方法较容易被发现。很多时候,攻击者出于隐蔽考虑,会使用Schtasks+Regsvr32等组合方式来进行权限维持。


四、粘滞键后门


Windows中的粘滞键是专为同时按下两个或多个键有困难的人设计的,其主要功能是方便组合使用Shift、Ctrl、Alt 与 其他键。例如,在使用热键 Ctrl+C 时,用粘滞键就可以一次只按个键来完成复制功能。


在Windows操作系统中,连续按5次Shift键就可以触发粘滞键。实际上,启动运行的是Windowssystem32sethc.exe。基于粘滞键的触发特性 , 攻击者可以替换原有的可执行文件为后门程序(如替换成cmd.exe),如此便可以以触发粘滞键的方式启动攻击者的后门。


粘滞键是常用的权限维持方法之一,下面简单介绍粘滞键后门部署和启动。 


执行如下命令,即可快速部署粘滞键后门:

        move C:windowssystem32sethc.exe C:windowssystem32sethc1.exe

        copy C:windowssystem32cmd.exe  C:windowssystem32sethc.exe

备份原始粘滞键程序,效果如下所示:


工作组权限维持(下)


部署粘滞键后门,效果如下所示:


工作组权限维持(下)


部署完粘滞键后门后,通过3389端口远程登录计算机。在Windows操作系统的登录界面中,连续按5次Shif键就可以启动粘滞键后门。


启动粘滞键后门,效果如下所示:


工作组权限维持(下)


在上面的例子中攻击者使用cmd.exe替换粘滞键的可执行文件sethc.exe,但是使用cmd.exe当作后门可执行文件并不是很隐蔽。例如,如果有其他攻击者通过3389端口远程登录这台服务器,他也可以使用该后门。为实现后门隐蔽,很多攻击者会开发高仿的sethc.exe,其界面看起来跟正常的sethc.exe一样,用来欺骗管理员和其他攻击者。


除粘连键sethc.exe,放大镜magnify.exe也可用作后门用途,因利用手法相似此处不作展开。


五、小结


在攻击者拿到工作组某台成员主机的账号密码后,为防止密码被改,需要使用隐蔽后门等手段来维持取得的计算机权限。将二进制文件放在Windows启动项目录中是最简单的方式,但是隐蔽性差,较主流的工作组权限维持通常有三种,本篇讲第三种基于系统功能特性的权限维持,部分前面提及的后门方式也可归入此类。因篇幅所限,上述手法仅作最基础的展示,如希望深入可参考persistence-aggressor-script 项目中的persistence.cna脚本。

工作组权限维持(下)

本文始发于微信公众号(疯猫网络):工作组权限维持(下)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: