CIA Vault7 RDB中的Windows后门利用方法分析
source link: https://3gstudent.github.io/3gstudent.github.io/CIA-Vault7-RDB%E4%B8%AD%E7%9A%84Windows%E5%90%8E%E9%97%A8%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95%E5%88%86%E6%9E%90/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
CIA Vault7 RDB中的Windows后门利用方法分析
0x00 前言
在上篇文章《CIA Hive测试指南——源代码获取与简要分析》对维基解密公布的代号为Vault 8的文档进行了研究,简要分析服务器远程控制工具Hive
本文将要继续对维基解密公布的CIA相关资料进行分析,介绍Vault 7中Remote Development Branch (RDB)中提到的Windows后门利用方法
资料地址:
https://wikileaks.org/ciav7p1/cms/page_2621760.html
0x01 简介
本文将要分析以下后门利用方法:
- VBR Persistence
- Image File Execution Options
- OCI.DLL Service Persistence
- Shell Extension Persistence
- Windows FAX DLL Injection
0x02 VBR Persistence
用于在Windows系统的启动过程中执行后门,能够hook内核代码
VBR全称Volume Boot Record (also known as the Partition Boot Record)
对应工具为Stolen Goods 2.0(未公开)
Stolen Goods的说明文档地址:
https://wikileaks.org/vault7/document/StolenGoods-2_0-UserGuide/
特点:
- 能够在Windows启动过程中加载驱动(驱动无需签名)
- 适用WinXP(x86)、Win7(x86/x64)
该方法取自https://github.com/hzeroo/Carberp
注:
https://github.com/hzeroo/Carberp内包含的源码值得深入研究
0x03 Image File Execution Options
通过配置注册表实现执行程序的重定向
修改方式(劫持notepad.exe):
注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
新建项notepad.exe
新建字符串值,名称:notepad.exe,路径"C:\windows\system32\calc.exe"
对应cmd命令为:
reg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\calc.exe" /f
启动notepad.exe,实际执行的程序为"C:\windows\system32\calc.exe"
注:
通常情况下,修改该位置的注册表会被杀毒软件拦截
0x04 OCI.DLL Service Persistence
利用MSDTC服务加载dll,实现自启动
Shadow Force曾经在域环境中使用过的一个后门,通过说明文档猜测CIA也发现了该方法可以在非域环境下使用
我在之前的文章介绍过这种利用方法,地址为:
https://3gstudent.github.io/Use-msdtc-to-maintain-persistence/
我的文章使用的方法是将dll保存在C:\Windows\System32\下
CIA使用的方法是将dll保存在C:\Windows\System32\wbem\下
这两个位置都可以,MSDTC服务在启动时会依次查找以上两个位置
0x05 Shell Extension Persistence
通过COM dll劫持explorer.exe的启动过程
该思路我在之前的文章也有过介绍,地址如下:
https://3gstudent.github.io/Use-COM-Object-hijacking-to-maintain-persistence-Hijack-explorer.exe/
注:
该方法曾被多个知名的恶意软件使用过,例如COMRAT、ZeroAccess rootkit和BBSRAT
0x06 Windows FAX DLL Injection
通过DLL劫持,劫持Explorer.exe对fxsst.dll的加载
Explorer.exe在启动时会加载c:\Windows\System32\fxsst.dll(服务默认开启,用于传真服务)
将payload.dll保存在c:\Windows\fxsst.dll,能够实现dll劫持,劫持Explorer.exe对fxsst.dll的加载
较早公开的利用方法,参考链接如下:
https://room362.com/post/2011/2011-06-27-fxsstdll-persistence-the-evil-fax-machine/
0x07 小结
本文对Vault7中Remote Development Branch (RDB)中提到的Windows后门利用方法进行了分析,可以看到,这部分内容会借鉴已公开的利用方法
我对已公开的Windows后门利用方法做了一个系统性的搜集(也包括我自己公开的方法),地址如下:
https://github.com/3gstudent/Pentest-and-Development-Tips/blob/master/README.md#tips-30-windows-persistence
Recommend
-
149
中国 Android 应用利用 Dirty Cow 漏洞植入后门
-
13
GookitBankingTrojan中的后门利用分析 0x00 前言 Gootkit Banking Trojan在2014年被首次发现,最近Daniel Bunce(@ 0verfl0w_)介绍了一些对于Gootkit Banking Trojan的分析,文章地址如下: https://www.sentine...
-
8
0x00 前言 维基解密公布的CIA Vault 7中涉及到了Windows系统中Junction Folders和Library Files的利用 地址如下: https://wikileaks.org/ciav7p1/cms/page_13763381.html https://wikileaks.org/ciav7p1/cms/page_13763373.htm...
-
8
0x00 前言 最近看了一篇文章《VSTO: The Payload Installer That Probably Defeats Your Application Whitelisting Rules》,介绍了利用VSTO实现Office后门的方法,我在之前的文章
-
22
利用BDF向DLL文件植入后门 0x00 前言 在之前的文章《利用BDF向...
-
6
0x00 前言 The Backdoor Factory可用来向可执行文件植入后门,修改程序执行流程,执行添加的payload。 本文将要介绍向EXE文件植入后门的原理,测试The Backdoor Factory植入后门的方法,分析细节,总结思路。...
-
6
SSH软链接后门利用和原理 广州锦行网络科技有限公司 2021-08-18 本文由锦行科技的安全研究团队提供,主要介绍SSH软连接...
-
6
利用TelemetryController实现的后门分析 01 Nov 2021 0x00 前言 我从ABUSING WINDOWS TELEMETRY FOR PERSISTENCE学到了一种利用Tel...
-
3
渗透基础——利用VMware Tools实现的后门 10 Oct 2021 0x00 前言 在渗透测试中,我们经常会碰到Windows虚拟机,这些虚拟机往往会安装VMware Tools,利用VMware Tools的脚本执行功能可以实现一个开机自启动的后门。 关于这...
-
8
Inštalácia LaTeX2HTML vo Windows /home/robonovotny Inštalácia LaTeX2HTML vo Windows 2004/11/24 LaTeX2HTML-2002-2...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK