COM Object hijacking后门的实现思路——劫持CAccPropServicesClass和MMDeviceEnumerator

本文讲的是<b>COM Object hijacking后门的实现思路——劫持CAccPropServicesClass和MMDeviceEnumerator</b>，在之前的文章《Use CLR to maintain persistence》介绍了通过CLR劫持所有.Net程序的方法，无需管理员权限，可用作后门。美中不足的是通过WMI添加环境变量需要重启系统。 

本文将继续介绍另一种后门的利用方法，原理类似，但优点是不需要重启系统，同样也不需要管理员权限。

注：

本文介绍的方法曾被木马COMpfun使用

0x01 简介

本文将要介绍以下内容：

· 后门思路

· POC编写

· 防御检测

0x02 COM组件

· COM是Component Object Model （组件对象模型）的缩写

· COM组件由DLL和EXE形式发布的可执行代码所组成

· COM与语言，平台无关

· COM组件对应注册表中CLSID下的注册表键值

0x03 后门思路

同使用CLR劫持.Net程序的方法类似，也是通过修改CLSID下的注册表键值，实现对CAccPropServicesClass和MMDeviceEnumerator劫持，而系统很多正常程序启动时需要调用这两个实例，所以，这就可以用作后门来使用，并且，该方法也能够绕过Autoruns对启动项的检测。

32位系统利用方法：

1、新建文件

在%APPDATA%MicrosoftInstaller{BCDE0395-E52F-467C-8E3D-C4579291692E}下放入测试dll，重命名为api-ms-win-downlevel-[4char-random]-l1-1-0._dl

重命名为api-ms-win-downlevel-1×86-l1-1-0._dl

如下图

2、修改注册表

注册表位置：HKCUSoftwareClassesCLSID

创建项{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}

创建子项InprocServer32

Default的键值为测试dll的绝对路径：

创建键值： ThreadingModel REG_SZ Apartment

注册表内容如下图

3、测试

启动iexplore.exe，触发后门，多次启动calc.exe，最终导致系统死机

启动过程多次调用实例CAccPropServicesClass()，因此导致启动多个calc.exe，最终系统死机

4、优化

可以对dll加一个互斥量，防止重复加载，只启动一次calc.exe

c++代码为：

编译后大小3k，如果多次加载该dll，会因为互斥量导致只加载一次，也就是说只启动一次calc.exe

换用新的dll，再次测试，只启动一次calc.exe，如下图

64位系统利用方法：

在%APPDATA%MicrosoftInstaller{BCDE0395-E52F-467C-8E3D-C4579291692E}下分别放入32位和64位的测试dll

(1)

Default的键值为64位dll的绝对路径：

C:UsersaAppDataRoamingMicrosoftInstaller{BCDE0395-E52F-467C-8E3D-C4579291692E}api-ms-win-downlevel-1×86-l1-1-0._dl

(2)

注册表位置：HKCUSoftwareClassesWow6432NodeCLSID

创建项{BCDE0395-E52F-467C-8E3D-C4579291692E}

Default的键值为32位dll路径：

分别启动32位和64位的iexplore.exe，均可触发后门，启动一次calc.exe

测试成功

0x04 POC编写

POC开发需要注意的细节：

1、操作默认不一定包含文件夹

需要先判断文件夹%APPDATA%MicrosoftInstaller 

如果没有，在%APPDATA%Microsoft下创建文件夹Installer

2、创建文件夹{BCDE0395-E52F-467C-8E3D-C4579291692E}

由于包含特殊字符{}，需要双引号包含路径

3、创建payload文件

首先判断操作系统

不同系统释放不同文件

4、创建注册表

修改注册表默认值，如下图

在powershell下，需要使用特殊变量"(default)"

eg：

0x05 防御检测

结合利用方法，注意监控以下位置：

1、注册表键值

2、文件路径

%APPDATA%RoamingMicrosoftInstaller{BCDE0395-E52F-467C-8E3D-C4579291692E}

命名方式：api-ms-win-downlevel-[4char-random]-l1-1-0._dl

0x06 小结

本文介绍了通过COM Object hijacking实现的后门利用方法，使用powershell脚本编写POC，分享POC开发中需要注意的细节，结合实际利用过程分析该后门的防御方法。

原文发布时间为：2017年8月28日

本文作者：3gstudent 

本文来自云栖社区合作伙伴嘶吼，了解相关信息可以关注嘶吼网站。

<a href="http://www.4hou.com/technology/7010.html" target="_blank">原文链接</a>