HACK80

我们很年轻,但我们有信念、有梦想!

我们坚信只有今天付出了,才有机会看到明天的太阳!
现在!加入我们,给你一个气氛优秀的技术圈子

作者: EvilGod
查看: 252|回复: 0

more +随机图赏Gallery

社工库查询工具1.1修改版社工库查询工具1.1修改版
可以手机远程控制电脑,手机远程控制手机的超强工具!可以手机远程控制电脑,手机远程控制手机的超强工具!
简单---两步--进暗网--更新之前的简单---两步--进暗网--更新之前的
2017年中旬WEB渗透系列课程-00前言2017年中旬WEB渗透系列课程-00前言
2017年中旬WEB渗透系列课程-25基于php参数开关的提权2017年中旬WEB渗透系列课程-25基于php参数开关的提权
2017年中旬WEB渗透系列课程-27HASH提权2017年中旬WEB渗透系列课程-27HASH提权
御剑后台扫描--自带10多兆后台数据库御剑后台扫描--自带10多兆后台数据库
国内高手浅蓝渗透视频,值得一看。国内高手浅蓝渗透视频,值得一看。
【重要公告】2017年中工作进展及最新课程发布【重要公告】2017年中工作进展及最新课程发布
二期公开课第6节-Linux下的爆破工具+爆破指定IP远程登陆二期公开课第6节-Linux下的爆破工具+爆破指定IP远程登陆

SSM终结dll注入

[复制链接]
EvilGod 发表于 2018-1-8 16:58:23 | 显示全部楼层 |阅读模式
查看: 252|回复: 0

马上注册,加入HACK80!与我们一起交流。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
本帖最后由 EvilGod 于 2018-1-8 16:59 编辑

作者:xlx
原文地址:https://secvul.com/topics/951.html

最近跟同事讨论一次安全事件的时候,偶然了解到SSM这个软件,这里抛砖引玉做个记录。
System Safety Monitor (SSM)是一款俄罗斯出品的系统监控软件,可以对系统进行全方位监测的防火墙工具,它不同于传统意义上的防火墙,针对操作系统内部的存取管理,因此与任何网络/病毒防火墙都是不相冲突。使用System Safety Monitor (SSM), 可以实时监控系统活动、终止那些不需要或不希望发生的系统活动。

许多木马都是注入到系统里关键进程中的,例如“svchost.exe”、“lsass.exe”、“winlogon.exe”进程,这些进程使用普通方式无法结束,使用特殊工具结束掉进程或卸载掉进程中的DLL文件后,却又很可能造成系统崩溃无法正常运行等问题。对于这类dll木马,必须在进程运行之前阻止dll文件的加载。阻止dll文件加载可以使用强大的安全工具“System Safety Monitor”(简称SSM)。
这里以典型的dll注入上兴远控为例:
实验环境:windows server 2003 32位
首先运行上兴远控,配置服务端,这里因为是实验,随意填入一个ip地址即可,之后生成服务端。

生成服务端之后,目录下会生成rejoice.exe的服务端后门程序。

在虚拟机中运行rejoice.exe文件,运行之后用process hacker查看进行进程,发现木马生成IEXPLORE.EXE和rejoice.exe进程。

查看IEXPLORE.EXE进程中加载的dll文件,可以看到IEXPLORE.EXE进程中加载了rejoice.dll文件

用everything搜索,发现在C:\WINDOWS\ststem32目录下生成rejoice.exe和rejoice.dll文件。

这里尝试直接Kill掉进程IEXPLORE.EXE,注意此时IEXPLORE.EXE的PID号为3932。


结束掉进程IEXPLORE.EXE之后,又生成一个新的进程IEXPLORE.EXE,PID号为1272。

尝试kill掉rejoice.exe进程,该进程也是无法直接杀死的。
此时祭出神器SSM,首先安装SSM,此处使用的版本是SSM 2.0.8.585,尝试过SSM2.3.0.612和SSM2.4.0.662 bete版本,发现无法自定义阻止的进程,可能是我太菜的原因。

首先安装SSM,傻瓜式安装,直接一路下一步即可,这里注意,安装完成之后,需要立即重启服务器,否则SSM无法运行。

重启之后,启动SSM,可以在“options”选项中,选择“General”,将Language修改为中文。

只有让SSM随时启动才能真正起到监视和保卫系统安全的作用,这里我们设置让其自动随Windows一同启动,在“选项”中选择“常规”中勾选“自动启动”。
接下来添加规则,阻止dll启动,在规则一栏中,右键选择”添加文件规则”选择添加“应用程序”

选择system32目录下的rejoice.exe文件,这里在文件名中直接填入rejoice.exe即可,之后相同的方法,再建一个库文件规则,填入rejoice.dll


添加完规则之后,右键选择”规则”,将允许设置为阻止。


最后,注意了,要在”选项”中,选择”程序”,勾选“启用程序规则之后,依照阻止规则关闭相应的进程”和”应用新近创建的阻止规则于已运行的程序”,不勾选规则无法生效的。
完成设置之后,点击”应用选项”,之后重启服务器。

重启之后,再次使用process hacker查看进程,发现恶意进程rejoice.exe未能启动,rejoice.dll也未能注入IEXPLORE.EXE,两者均被SSM阻止。

此时无法删除的rejoice.exe和rejoice.dll也可以被删除掉了。



                                                                        

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|手机版|HACK80 ( 沪ICP备15007512号 )

GMT+8, 2018-1-24 13:45 , Processed in 0.063412 second(s), 24 queries .

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.