如何在红队活动中使用PersistBOF实现持久化

admin 2025年1月11日14:40:32评论4 views字数 1472阅读4分54秒阅读模式

如何在红队活动中使用PersistBOF实现持久化

 关于PersistBOF 

PersistBOF是一款针对Windows系统安全的持久化工具,该工具能够以自动化的形式实现常见的持久化技术。当前版本的PersistBOF支持Print Monitor(系统服务)、Time Provider(网络服务)和启动目录快捷方式劫持(用户服务)等。

PersistBOF所实现的所有技术都依赖于一个DLL文件,这个DLL文件会以分布式的形式存储到目标系统 磁盘中。

 工具下载 

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/IcebreakerSecurity/PersistBOF.git

接下来,我们需要切换到项目目录,并运行make命令来构建源码:

make

最后,将生成的.cna文件添加到Cobalt Strike客户端即可。

参考语句:

persist-ice [PrintMon, TimeProv, Shortcut] [persist or clean] [key/folder name] [dll / lnk exe name];

如何在红队活动中使用PersistBOF实现持久化

 工具使用 

Print Monitor

工具所使用的DLL文件必须要存储在目标设备磁盘中,而且必须要在BOF运行之前在PATH环境变量中设置好DLL的路径位置(DLL搜索顺序),否则将无法正常实现持久化。

这种方式可以将管理员权限提升至SYSTEM权限,并实现持久化。

PrintMonitorDll使用样例:

1、将NotMalware.dll上传到C:WindowsNotMalware.dll;

2、NotMalware.dll将通过PrintMon以TotesLegitMonitor来实现持久化;

3、程序将立即以SYSTEM权限执行;

4、程序会在系统启动时自动执行;

Time Provider

运行了PersistBOF之后,程序将通过svchost.exe以NETWORK SERVICE的形式在系统启动时执行。

TimeProvider使用样例:

工具使用TimeProv并通过TotesLegitTimeProvider实现持久化(C:anywhereNotMalware.dll);

启动目录劫持

创建一个新的、用户可写的目录,然后将可劫持的Windows代码拷贝到该目录中,并在启动目录中创建一个指向该文件的快捷方式。最后,该程序将会在用户登录时执行。

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

https://github.com/IcebreakerSecurity/PersistBOF

参考资料

https://stmxcsr.com/persistence/print-monitor.html

https://stmxcsr.com/persistence/time-provider.html

https://pentestlab.blog/2019/10/28/persistence-port-monitors/

https://blog.f-secure.com/hunting-for-junction-folder-persistence/

https://attack.mitre.org/techniques/T1547/010/

https://attack.mitre.org/techniques/T1547/003/

https://attack.mitre.org/techniques/T1547/009/

原文始发于微信公众号(FreeBuf):如何在红队活动中使用PersistBOF实现持久化

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月11日14:40:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何在红队活动中使用PersistBOF实现持久化https://cn-sec.com/archives/1126118.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息