本文讲的是<b>COM Object hijacking后门的实现思路——劫持CAccPropServicesClass和MMDeviceEnumerator</b>,在之前的文章《Use CLR to maintain persistence》介绍了通过CLR劫持所有.Net程序的方法,无需管理员权限,可用作后门。美中不足的是通过WMI添加环境变量需要重启系统。
本文将继续介绍另一种后门的利用方法,原理类似,但优点是不需要重启系统,同样也不需要管理员权限。
注:
本文介绍的方法曾被木马COMpfun使用
0x01 简介
本文将要介绍以下内容:
· 后门思路
· POC编写
· 防御检测
0x02 COM组件
· COM是Component Object Model (组件对象模型)的缩写
· COM组件由DLL和EXE形式发布的可执行代码所组成
· COM与语言,平台无关
· COM组件对应注册表中CLSID下的注册表键值
0x03 后门思路
同使用CLR劫持.Net程序的方法类似,也是通过修改CLSID下的注册表键值,实现对CAccPropServicesClass和MMDeviceEnumerator劫持,而系统很多正常程序启动时需要调用这两个实例,所以,这就可以用作后门来使用,并且,该方法也能够绕过Autoruns对启动项的检测。
32位系统利用方法:
1、新建文件
在%APPDATA%MicrosoftInstaller{BCDE0395-E52F-467C-8E3D-C4579291692E}下放入测试dll,重命名为api-ms-win-downlevel-[4char-random]-l1-1-0._dl
重命名为api-ms-win-downlevel-1×86-l1-1-0._dl
如下图
2、修改注册表
注册表位置:HKCUSoftwareClassesCLSID
创建项{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}
创建子项InprocServer32
Default的键值为测试dll的绝对路径:
创建键值: ThreadingModel REG_SZ Apartment
注册表内容如下图
3、测试
启动iexplore.exe,触发后门,多次启动calc.exe,最终导致系统死机
启动过程多次调用实例CAccPropServicesClass(),因此导致启动多个calc.exe,最终系统死机
4、优化
可以对dll加一个互斥量,防止重复加载,只启动一次calc.exe
c++代码为:
编译后大小3k,如果多次加载该dll,会因为互斥量导致只加载一次,也就是说只启动一次calc.exe
换用新的dll,再次测试,只启动一次calc.exe,如下图
64位系统利用方法:
在%APPDATA%MicrosoftInstaller{BCDE0395-E52F-467C-8E3D-C4579291692E}下分别放入32位和64位的测试dll
(1)
Default的键值为64位dll的绝对路径:
C:UsersaAppDataRoamingMicrosoftInstaller{BCDE0395-E52F-467C-8E3D-C4579291692E}api-ms-win-downlevel-1×86-l1-1-0._dl
(2)
注册表位置:HKCUSoftwareClassesWow6432NodeCLSID
创建项{BCDE0395-E52F-467C-8E3D-C4579291692E}
Default的键值为32位dll路径:
分别启动32位和64位的iexplore.exe,均可触发后门,启动一次calc.exe
测试成功
0x04 POC编写
POC开发需要注意的细节:
1、操作默认不一定包含文件夹
需要先判断文件夹%APPDATA%MicrosoftInstaller
如果没有,在%APPDATA%Microsoft下创建文件夹Installer
2、创建文件夹{BCDE0395-E52F-467C-8E3D-C4579291692E}
由于包含特殊字符{},需要双引号包含路径
3、创建payload文件
首先判断操作系统
不同系统释放不同文件
4、创建注册表
修改注册表默认值,如下图
在powershell下,需要使用特殊变量"(default)"
eg:
0x05 防御检测
结合利用方法,注意监控以下位置:
1、注册表键值
2、文件路径
%APPDATA%RoamingMicrosoftInstaller{BCDE0395-E52F-467C-8E3D-C4579291692E}
命名方式:api-ms-win-downlevel-[4char-random]-l1-1-0._dl
0x06 小结
本文介绍了通过COM Object hijacking实现的后门利用方法,使用powershell脚本编写POC,分享POC开发中需要注意的细节,结合实际利用过程分析该后门的防御方法。
原文发布时间为:2017年8月28日
本文作者:3gstudent
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
<a href="http://www.4hou.com/technology/7010.html" target="_blank">原文链接</a>