首页 安全文摘 正文

打造不一样的Shfit映像劫持后门

本文作者:xiaoYan(贝塔安全实验室-核心成员)实验环境:目标机:Windows7攻击机:Kali Linux演示过程:最近研究留后门姿势发现一个比较有意思的跟大家分享一下,大佬勿喷!0x00 大家一定都知道映像劫持后门,修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVe

本文作者:xiaoYan(贝塔安全实验室-核心成员)



实验环境

演示过程:


最近研究留后门姿势发现一个比较有意思的跟大家分享一下,大佬勿喷!


0x00 大家一定都知道映像劫持后门,修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下sethc.exe,添加一个Debugger字符值(REG_SZ),并且赋值为cmd.exe的执行路径为C:\Windows\system32\cmd.exe,如图:

打造不一样的Shfit映像劫持后门 安全文摘 安全文摘  第1张

0x01如上文所述,修改IFEO中的“debugger”键值,用来替换原有程序的执行。如:键入五下Shift执行sethc.exe程序时会执行cmd.exe程序。

打造不一样的Shfit映像劫持后门 安全文摘 安全文摘  第2张

0x02与上文对比,不一样的Shift后门是怎样的呢?实现效果:键入五下Shift执行时,先执行sethc.exe程序,当sethc.exe程序静默退出时,执行cmd.exe程序。

0x03 怀揣着0x02的目标我们开始复现,在网上收集资料时发现,注册表Image File Execution Options下有一个GlobalFlag项值,在MSDN的博客上,发现GlobalFlag由gflags.exe控制。

文章地址:

https://blogs.msdn.microsoft.com/junfeng/2004/04/28/image-file-execution-options/ 

打造不一样的Shfit映像劫持后门 安全文摘 安全文摘  第3张

0x04 下载gflags.exe开始研究,在Silent Process Exit这个选项卡中发现了挺有趣的东西。根据微软官方介绍,从Windows7开始,可以在Silent Process Exit选项卡中,可以启用和配置对进程静默退出的监视操作。在此选项卡中设定的配置都将保存在注册表中。

打造不一样的Shfit映像劫持后门 安全文摘 安全文摘  第4张

0x05 填入如上配置后点击应用,开始测试。使用Process Explorer进行检测进程的变化发现键入五下Shift执行时,先执行sethc.exe程序,当sethc.exe程序静默退出时,执行cmd.exe程序。 

0x06进一步研究,发现其实是工具帮我们添加并修改了IFEO目录下sethc.exe的GlobalFlag值,如图:

打造不一样的Shfit映像劫持后门 安全文摘 安全文摘  第5张

以及SilentProcessExit下ReportingMode和MonitorProcess两个项值,如图:

打造不一样的Shfit映像劫持后门 安全文摘 安全文摘  第6张

0x07那么,接下来我们可以修改上文中MonitorProcess值来放我们的后门,例如Powershell反弹shell,配合五下Shift就可以神不知鬼不觉的进行反连。如:键入五下Shift后正常弹粘滞键,关闭之后执行我们的powershell代码,如图: 

打造不一样的Shfit映像劫持后门 安全文摘 安全文摘  第7张

0x08脑补一下连接成功的画面~实验结束,希望大佬勿喷。 

打造不一样的Shfit映像劫持后门 安全文摘 安全文摘  第8张

参考文章:

https://blogs.msdn.microsoft.com/junfeng/2004/04/28/image-file-execution-options/

https://blog.csdn.net/johnsonblog/article/details/8165861

http://download.microsoft.com/download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D/setup/WinSDKDebuggingTools_amd64/dbg_amd64.msi

文由贝塔安全实验室

海报

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/1551.html

相关推荐

从偶遇Flarum开始的RCE之旅

从偶遇Flarum开始的RCE之旅

事先声明:本次测试过程完全处于本地或授权环境,仅供学习与参考,不存在未授权测试过程,请读者勿使用该漏洞进行未授权测试,否则作者不承担任何...

WEB安全 2022-08-21 0 10410

2022年蓝队初级护网总结

2022年蓝队初级护网总结

一. 设备误报如何处理? 答:来自外网的误报说明安全设备需要进行策略升级,不需要处置。如果是来自内网的误报可以和负责人协商一下...

安全文摘 2022-08-21 0 10400

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持