HACK80

我们很年轻,但我们有信念、有梦想!

我们坚信只有今天付出了,才有机会看到明天的太阳!
现在!加入我们,给你一个气氛优秀的技术圈子

作者: EvilGod
查看: 125|回复: 0

more +随机图赏Gallery

2017年中旬WEB渗透系列课程-27HASH提权2017年中旬WEB渗透系列课程-27HASH提权
2017年中旬WEB渗透系列课程-23提权认识2017年中旬WEB渗透系列课程-23提权认识
X站神器-灰长给力-X站神器-灰长给力-
2017年中旬WEB渗透系列课程-11注入的其他姿势2017年中旬WEB渗透系列课程-11注入的其他姿势
2017年中旬WEB渗透系列课程-10基于提交方式注入的分析2017年中旬WEB渗透系列课程-10基于提交方式注入的分析
2017年中旬WEB渗透系列课程-09Mysql注入跨库2017年中旬WEB渗透系列课程-09Mysql注入跨库
2017年中旬WEB渗透系列课程-08Mysql注入读写2017年中旬WEB渗透系列课程-08Mysql注入读写
2017年中旬WEB渗透系列课程-07Mysql常规注入2017年中旬WEB渗透系列课程-07Mysql常规注入
2017年中旬WEB渗透系列课程-06Mysql注入分析2017年中旬WEB渗透系列课程-06Mysql注入分析
2017年中旬WEB渗透系列课程-05Access注入分析2017年中旬WEB渗透系列课程-05Access注入分析

CIA Vault7 RDB中的Windows后门利用方法分析

[复制链接]
EvilGod 发表于 2017-12-7 17:30:11 | 显示全部楼层 |阅读模式
查看: 125|回复: 0

马上注册,加入HACK80!与我们一起交流。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
0x00 前言
在上篇文章《CIA Hive测试指南——源代码获取与简要分析》对维基解密公布的代号为Vault 8的文档进行了研究,简要分析服务器远程控制工具Hive
本文将要继续对维基解密公布的CIA相关资料进行分析,介绍Vault 7中Remote Development Branch (RDB)中提到的Windows后门利用方法
资料地址:
https://wikileaks.org/ciav7p1/cms/page_2621760.html

0x01 简介
本文将要分析以下后门利用方法:
  • VBR Persistence
  • Image File Execution Options
  • OCI.DLL Service Persistence
  • Shell Extension Persistence
  • Windows FAX DLL Injection

0x02 VBR Persistence
用于在Windows系统的启动过程中执行后门,能够hook内核代码
VBR全称Volume Boot Record (also known as the Partition Boot Record)
对应工具为Stolen Goods 2.0(未公开)
Stolen Goods的说明文档地址:
https://wikileaks.org/vault7/document/StolenGoods-2_0-UserGuide/
特点:
  • 能够在Windows启动过程中加载驱动(驱动无需签名)
  • 适用WinXP(x86)、Win7(x86/x64)
该方法取自https://github.com/hzeroo/Carberp
注:
https://github.com/hzeroo/Carberp内包含的源码值得深入研究

0x03 Image File Execution Options
通过配置注册表实现执行程序的重定向
修改方式(劫持notepad.exe):
注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
新建项notepad.exe
新建字符串值,名称:notepad.exe,路径"C:\windows\system32\calc.exe"
对应cmd命令为:
  1. reg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\calc.exe" /f
复制代码

启动notepad.exe,实际执行的程序为"C:\windows\system32\calc.exe"
注:
通常情况下,修改该位置的注册表会被杀毒软件拦截

0x04 OCI.DLL Service Persistence
利用MSDTC服务加载dll,实现自启动
Shadow Force曾经在域环境中使用过的一个后门,通过说明文档猜测CIA也发现了该方法可以在非域环境下使用
我在之前的文章介绍过这种利用方法,地址为:
https://3gstudent.github.io/Use-msdtc-to-maintain-persistence/
我的文章使用的方法是将dll保存在C:\Windows\System32\下
CIA使用的方法是将dll保存在C:\Windows\System32\wbem\下
这两个位置都可以,MSDTC服务在启动时会依次查找以上两个位置

0x05 Shell Extension Persistence
通过COM dll劫持explorer.exe的启动过程
该思路我在之前的文章也有过介绍,地址如下:
https://3gstudent.github.io/Use- ... ijack-explorer.exe/
注:
该方法曾被多个知名的恶意软件使用过,例如COMRAT、ZeroAccess rootkit和BBSRAT


0x06 Windows FAX DLL Injection
通过DLL劫持,劫持Explorer.exe对fxsst.dll的加载
Explorer.exe在启动时会加载c:\Windows\System32\fxsst.dll(服务默认开启,用于传真服务)
将payload.dll保存在c:\Windows\fxsst.dll,能够实现dll劫持,劫持Explorer.exe对fxsst.dll的加载
较早公开的利用方法,参考链接如下:
https://room362.com/post/2011/20 ... e-evil-fax-machine/

0x07 小结
本文对Vault7中Remote Development Branch (RDB)中提到的Windows后门利用方法进行了分析,可以看到,这部分内容会借鉴已公开的利用方法
我对已公开的Windows后门利用方法做了一个系统性的搜集(也包括我自己公开的方法),地址如下:
https://github.com/3gstudent/Pen ... windows-persistence

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|手机版|HACK80 ( 沪ICP备15007512号 )

GMT+8, 2017-12-15 12:13 , Processed in 0.057772 second(s), 24 queries .

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.