CIA Vault7 RDB中的Windows後門利用方法分析
0x00 前言
在上篇文章《CIA Hive測試指南——源代碼獲取與簡要分析》對維基解密公布的代號為Vault 8的文檔進行了研究,簡要分析伺服器遠程控制工具Hive
本文將要繼續對維基解密公布的CIA相關資料進行分析,介紹Vault 7中Remote Development Branch (RDB)中提到的Windows後門利用方法
資料地址:
https://wikileaks.org/ciav7p1/cms/page_2621760.html
0x01 簡介
本文將要分析以下後門利用方法:
· VBR Persistence
· Image File Execution Options
· OCI.DLL Service Persistence
· Shell Extension Persistence
· Windows FAX DLL Injection
0x02 VBR Persistence
用於在Windows系統的啟動過程中執行後門,能夠hook內核代碼
VBR全稱Volume Boot Record (also known as the Partition Boot Record)
對應工具為Stolen Goods 2.0(未公開)
Stolen Goods的說明文檔地址:
https://wikileaks.org/vault7/document/StolenGoods-2_0-UserGuide/
特點:
· 能夠在Windows啟動過程中載入驅動(驅動無需簽名)
· 適用WinXP(x86)、Win7(x86/x64)
該方法取自https://github.com/hzeroo/Carberp
註:
https://github.com/hzeroo/Carberp 內包含的源碼值得深入研究
0x03 Image File Execution Options
通過配置註冊表實現執行程序的重定向
修改方式(劫持notepad.exe):
註冊表路徑:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsn
新建項notepad.exe
新建字元串值,名稱:notepad.exe,路徑"C:windowssystem32calc.exe"
對應cmd命令為:
reg add "hklmSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsnotepad.exe" /v Debugger /t REG_SZ /d "C:windowssystem32calc.exe" /fn
啟動notepad.exe,實際執行的程序為"C:windowssystem32calc.exe"
註:
通常情況下,修改該位置的註冊表會被殺毒軟體攔截
0x04 OCI.DLL Service Persistence
利用MSDTC服務載入dll,實現自啟動
Shadow Force曾經在域環境中使用過的一個後門,通過說明文檔猜測CIA也發現了該方法可以在非域環境下使用
我在之前的文章介紹過這種利用方法,地址為:
https://3gstudent.github.io/Use-msdtc-to-maintain-persistence/
我的文章使用的方法是將dll保存在C:WindowsSystem32下
CIA使用的方法是將dll保存在C:WindowsSystem32wbem下
這兩個位置都可以,MSDTC服務在啟動時會依次查找以上兩個位置
0x05 Shell Extension Persistence
通過COM dll劫持explorer.exe的啟動過程
該思路我在之前的文章也有過介紹,地址如下:
https://3gstudent.github.io/Use-COM-Object-hijacking-to-maintain-persistence-Hijack-explorer.exe/
註:
該方法曾被多個知名的惡意軟體使用過,例如COMRAT、ZeroAccess rootkit和BBSRAT
0x06 Windows FAX DLL Injection
通過DLL劫持,劫持Explorer.exe對fxsst.dll的載入
Explorer.exe在啟動時會載入c:WindowsSystem32fxsst.dll(服務默認開啟,用於傳真服務)
將payload.dll保存在c:Windowsfxsst.dll,能夠實現dll劫持,劫持Explorer.exe對fxsst.dll的載入
較早公開的利用方法,參考鏈接如下:
https://room362.com/post/2011/2011-06-27-fxsstdll-persistence-the-evil-fax-machine/
0x07 小結
本文對Vault7中Remote Development Branch (RDB)中提到的Windows後門利用方法進行了分析,可以看到,這部分內容會借鑒已公開的利用方法
我對已公開的Windows後門利用方法做了一個系統性的搜集(也包括我自己公開的方法),地址如下:
https://github.com/3gstudent/Pentest-and-Development-Tips/blob/master/README.md#tips-30-windows-persistence
本文為 3gstudent 原創稿件, 授權嘶吼獨家發布,如若轉載,請聯繫嘶吼編輯: http://www.4hou.com/system/8600.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※怎樣理解GeekPwn上來自玄武實驗室的手機蠕蟲隔空竊密項目?攻擊過程不依賴互聯網?
※什麼是對抗攻擊?
※國內證書頒發機構StartCom宣布將於2020年徹底終止證書業務
※請問大家,現在網路信息這樣不安全,如何能刪除現在互聯網中已經存在的那些個人信息?這麼久了,有跡可循么?
TAG:信息安全 |