例如这里打开Powershell(Process Explorer)会发现进程中有出现amsi.dll:
维持原理
向第三方杀软也可以使用AMSI接口来进行交互,以此识别恶意脚本或命令,微软提供了示例代码,该示例代码编译为dll,文件名为AmsiProvider,使用regsvr32注册后,会随着amsi一块注入到相关进程中。
dll中可指定触发命令的关键字,当powershell命令包含关键字时,恶意命令将运行,大概类似下面这个流程:
维持测试
这里站在巨人的肩膀上,直接使用写好的测试,链接参考在最后面,下载AmsiProvider.dll进行注册:
注册后打开powershell,输入关键字pentestlab来触发命令,上面命令会调用计算器:
作者提供了cpp源码,关键字以及触发后执行的命令都可以修改,使用vs将源码导入从新编译即可。例如把关键字改为powershell,命令改为运行notepad:
备注:AMSI应该是只有win10专业版、企业版和winserver2016支持。
参考链接
https://github.com/netbiosX/AMSI-Provider
https://docs.microsoft.com/en-us/samples/microsoft/windows-classic-samples/iantimalwareprovider-sample/
本文始发于微信公众号(aFa攻防实验室):Windows权限维持-AMSI
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论