一个有趣的横向移动技术POC代码

admin 2023年12月7日09:09:22评论56 views字数 981阅读3分16秒阅读模式

声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。


现在只对常读和星标的公众号才展示大图推送,建议大家把Hack分享吧设为星标”,否则可能看不到了

项目简介

ServiceMove是一个有趣的横向移动技术的POC代码,通过滥用Windows感知模拟服务来实现DLL劫持代码执行(仅限Windows 10 1809或更高版本)。

每次启动“Windows感知模拟服务”时,都会加载一个不存在的DLL文件(即hid.dll)。通过在“C:WindowsSystem32PerceptionSimulation”中插入精心设计的DLL并远程启动服务,我们能够在远程系统中以“NT AUTHORITYSYSTEM”的身份实现代码执行。
该技术的优点在于它相对隐蔽/OPSEC,因为它不像其他一般横向移动技术(例如,服务创建/修改、计划任务创建)那样具有典型的 IOC。它要做的只是将文件拖放到远程系统并远程启动服务。

工具使用

===General use===  Command: bof-servicemove target /root/hid.dll  


===Force mode===  Description: restart the service if the service is already running  Command: bof-servicemove target /root/hid.dll force


===Cleanup mode===  Description: stop the service if running and delete the DLL payload file  Command: bof-servicemove target cleanup
GIF动图演示:
一个有趣的横向移动技术POC代码

Lazarus组织曾在一次攻击活动中也使用过ServiceMove这种横向移动技术:通过DeathNote活动发现的Lazarus组织的最新攻击趋势

参考及来源:https://securelist.com/the-lazarus-group-deathnote-campaign/109490/

一个有趣的横向移动技术POC代码

下载地址

https://github.com/netero1010/ServiceMove-BOF


原文始发于微信公众号(Hack分享吧):一个有趣的横向移动技术POC代码

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月7日09:09:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一个有趣的横向移动技术POC代码https://cn-sec.com/archives/2275368.html

发表评论

匿名网友 填写信息