HACK80 首页  立即注册  登录
现在注册
已注册用户请  登录
HACK80    技术文档

CIA Vault7 RDB中的Windows后门利用方法分析

  •   EvilGod ·2017-12-7 17:30:11·367 次点击 ·阅读模式     

    马上注册,加入HACK80!与我们一起交流。

    您需要 登录 才可以下载或查看,没有帐号?立即注册

    x
    0x00 前言
    在上篇文章《CIA Hive测试指南——源代码获取与简要分析》对维基解密公布的代号为Vault 8的文档进行了研究,简要分析服务器远程控制工具Hive
    本文将要继续对维基解密公布的CIA相关资料进行分析,介绍Vault 7中Remote Development Branch (RDB)中提到的Windows后门利用方法
    资料地址:
    https://wikileaks.org/ciav7p1/cms/page_2621760.html

    0x01 简介
    本文将要分析以下后门利用方法:
    • VBR Persistence
    • Image File Execution Options
    • OCI.DLL Service Persistence
    • Shell Extension Persistence
    • Windows FAX DLL Injection

    0x02 VBR Persistence
    用于在Windows系统的启动过程中执行后门,能够hook内核代码
    VBR全称Volume Boot Record (also known as the Partition Boot Record)
    对应工具为Stolen Goods 2.0(未公开)
    Stolen Goods的说明文档地址:
    https://wikileaks.org/vault7/document/StolenGoods-2_0-UserGuide/
    特点:
    • 能够在Windows启动过程中加载驱动(驱动无需签名)
    • 适用WinXP(x86)、Win7(x86/x64)
    该方法取自https://github.com/hzeroo/Carberp
    注:
    https://github.com/hzeroo/Carberp内包含的源码值得深入研究

    0x03 Image File Execution Options
    通过配置注册表实现执行程序的重定向
    修改方式(劫持notepad.exe):
    注册表路径:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
    新建项notepad.exe
    新建字符串值,名称:notepad.exe,路径"C:\windows\system32\calc.exe"
    对应cmd命令为:
    1. reg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\calc.exe" /f
    复制代码

    启动notepad.exe,实际执行的程序为"C:\windows\system32\calc.exe"
    注:
    通常情况下,修改该位置的注册表会被杀毒软件拦截

    0x04 OCI.DLL Service Persistence
    利用MSDTC服务加载dll,实现自启动
    Shadow Force曾经在域环境中使用过的一个后门,通过说明文档猜测CIA也发现了该方法可以在非域环境下使用
    我在之前的文章介绍过这种利用方法,地址为:
    https://3gstudent.github.io/Use-msdtc-to-maintain-persistence/
    我的文章使用的方法是将dll保存在C:\Windows\System32\下
    CIA使用的方法是将dll保存在C:\Windows\System32\wbem\下
    这两个位置都可以,MSDTC服务在启动时会依次查找以上两个位置

    0x05 Shell Extension Persistence
    通过COM dll劫持explorer.exe的启动过程
    该思路我在之前的文章也有过介绍,地址如下:
    https://3gstudent.github.io/Use- ... ijack-explorer.exe/
    注:
    该方法曾被多个知名的恶意软件使用过,例如COMRAT、ZeroAccess rootkit和BBSRAT


    0x06 Windows FAX DLL Injection
    通过DLL劫持,劫持Explorer.exe对fxsst.dll的加载
    Explorer.exe在启动时会加载c:\Windows\System32\fxsst.dll(服务默认开启,用于传真服务)
    将payload.dll保存在c:\Windows\fxsst.dll,能够实现dll劫持,劫持Explorer.exe对fxsst.dll的加载
    较早公开的利用方法,参考链接如下:
    https://room362.com/post/2011/20 ... e-evil-fax-machine/

    0x07 小结
    本文对Vault7中Remote Development Branch (RDB)中提到的Windows后门利用方法进行了分析,可以看到,这部分内容会借鉴已公开的利用方法
    我对已公开的Windows后门利用方法做了一个系统性的搜集(也包括我自己公开的方法),地址如下:
    https://github.com/3gstudent/Pen ... windows-persistence

    367 次点击  
    收藏  转播  分享
    添加一条新回复
    您需要登录后才可以回帖 登录 | 立即注册

    本节点积分规则
    QQ
    小黑屋   ·   手机版   ·   228 人在线 最高记录 5500   ·   TOP
    我们很年轻,但我们有信念、有梦想!

      我们坚信只有今天付出了,才有机会看到明天的太阳!现在!加入我们,给你一个气氛优秀的技术圈子。  
    GMT+8, 2018-7-23 06:22, Processed in 0.043370 second(s), 18 queries .