通过从事件日志中写入/读取 shellcode 来持久化。
SharpEventPersist 工具采用 4 个区分大小写的参数:
-
-file "C:pathtoshellcode.bin"-instanceid 1337-source Persistence-eventlog "Key Management Service".
shellcode 转换为十六进制并写入“密钥管理服务”,事件级别设置为“信息”,源为“持久性”。
运行 SharpEventLoader 工具从事件日志中获取 shellcode 并执行它。理想情况下,这应该转换为 DLL 并在程序启动/启动时侧载。
如果未使用默认值运行,请记住更改加载程序中的事件日志名称和 instanceId。
默认值将留下以下工件:
-
一个新的密钥将被写入名为“Persistance”的 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLogKey Management Service。
-
这个新的“Persistance”键将没有默认键“KmsRequests”所具有的提供程序 GUID 或 TypesSupported。这可用于构建检测。
https://github.com/improsec/SharpEventPersist
原文始发于微信公众号(Khan安全攻防实验室):神兵利器 - SharpEventPersist
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论