工作组权限维持(下)

在攻击者拿到工作组某台成员主机的账号密码后 为防止密码被改 需要使用隐蔽后门等手段来维持取得的计算机权限。
将二进制文件放在Windows启动项目录中是最简单的方式 但是隐蔽性差 较主流的工作组权限维持通常有三种 本篇
讲第三种基于系统功能特性的权限维持 部分前面提及的后门方式也可归入此类。

一、MSDTC

​MSDTC(Microsoft Distributed Transaction Coordinator)是Windows操作系统启动微软分布式事务处理协调
器的服务该服务跟随Windows操作系统默认启动。其对应进程msdtc.exe位于C:\Window\System32\目录下该
进程调用系统Microsoft Personal Web Server和Microsoft SQL Server。该服务用于管理多个服务器 是一个并
列事务 是分布于两个以上的数据库 消息队列 文件系统或其他事务保护资源管理器。MSDTC存在于组环境和域
环境中 其RPC使用的端口为135。

检查MSDTC服务 效果如下所示：


检查MSDTC服务是否启动 也可使用netstat -ano 观察135处于监听状态。

检查服务启动 效果如下所示：



MSDTC服务启动时 会搜索注册表路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ MSD
TCMTxOCI它加载有oci.dll SQLLib80.dll 和 xa80.dll 这 3 个DLL文件。
查看加载DLL数据 效果如下所示：


通常情况下 在计算机中不存在oci.dll文件 于是攻击者可以将恶意的DLL文件命名为oci.dll
并保存在C:\Windows\System32\目录下加以利用。在MSDTC重启后 系统将加载并执行
该恶意DLL文件 从而打开计算器程序

系统加载恶意文件并成功打开计算器程序 效果如下图所示：


二、映像劫持

​映像劫持(Image File Execution Options)技术。实现执行A程序的同时执行B程序。当域成员机器更新完组
策略后会运行cmd.exe和calc.exe程序。你可以根据需求对cmd.exe和calc.exe程序进行修改。
未更新组策略注册表项 如下图所示：

  
更新组策略后注册表项 如下图所示：


三、任务计划

​任务计划是Windows操作系统自带的功能，在每个操作系统中都存在 主要用于定期运行或在指定时间
内运行命令和程序。任务计划有两种操作方式 一种方式是使用Schtasks. exe命令行工具进行操作输入
Schtasks /Create /?命令可查看参数列表。

查看参数列表 效果如下所示：


另一种方式是在 控制面板 中打开任务计划程序 通过图形化界面进行操作。

通过GUI界面操作任务计划程序 效果如下所示：


接下来 利用任务计划程序来进行测试。现在有个任务：在每天13:20运行指定文件 且该文件执行
后会弹出alice信息提示对话框。测试第一步在 任务计划程序窗口中点击 创建基本任务 得到下一
步界面 单击 下一步  按钮继续操作。

创建先导 效果如下所示：


选择任务执行的时间 如每天 每周 每月 一次 计算机启动时或当前用户登录时等。
这里选择 每天然后单击 下一步 按钮。

​选择每日的执行时间。选择每日13:20 执行指定的可执行文件 然后单击 下一步 按钮。
​选择任务操作动作 如启动程序 发邮件或显示消息等。这里选择 启动程序 并指定可执行文件的路径及参数
alice.exe不需要参数 所以留空白 然后单击 下一步 按钮。


单击 完成 按钮 计划任务添加完毕。到4:34时 任务计划自动执行并弹出
桌面信息提示对话框。

自动执行弹出提示对话框 效果如下所示：


在上面的例子中 权限维持的方法是在特定时间点执行桌面上的alice.exe 此方法较容易被发现很多时候
攻击者出于隐蔽考虑 会使用Schtasks+Regsvr32等组合方式来进行权限维持。

四、粘滞键后门

Windows中的粘滞键是专为同时按下两个或多个键有困难的人设计的 其主要功能是方便组合使用ShiftCtrl
Alt与 其他键。例如 在使用热键 Ctrl+C时用粘滞键就可以一次只按个键来完成复制功能。
在Windows操作系统中 连续按5次Shift键就可以触发粘滞键。实际上 启动运行的是\Windows\system32\sethc.exe
基于粘滞键的触发特性 攻击者可以替换原有的可执行文件为后门程序(如替换成cmd.exe如此便可以以触发粘滞键的方
式启动攻击者的后门。

粘滞键是常用的权限维持方法之一 下面简单介绍粘滞键后门部署和启动。

​        执行如下命令 即可快速部署粘滞键后门：
​        move C:\windows\system32\sethc.exe C:\windows\system32\sethc1.exe
​        copy C:\windows\system32\cmd.exe  C:\windows\system32\sethc.exe

备份原始粘滞键程序 效果如下所示：


部署粘滞键后门 效果如下所示：


部署完粘滞键后门后 通过3389端口远程登录计算机。在Windows操作系统的登录界
面中连续按5次Shif键就可以启动粘滞键后门。

启动粘滞键后门 效果如下所示：


在上面的例子中攻击者使用cmd.exe替换粘滞键的可执行文件sethc.exe 但是使用cmd.exe当作后门可执行文件
并不是很隐蔽。例如 如果有其他攻击者通过3389端口远程登录这台服务器 他也可以使用该后门。为实现后门隐
蔽很多攻击者会开发高仿的sethc.exe 其界面看起来跟正常的sethc.exe一样 用来欺骗管理员和其他攻击者。

除粘连键sethc.exe 放大镜magnify.exe也可用作后门用途 因利用手法相似此处不作展开。

五、小结

​在攻击者拿到工作组某台成员主机的账号密码后 为防止密码被改 需要使用隐蔽后门等手段来维持取得的计算机权限将二
进制文件放在Windows启动项目录中是最简单的方式 但是隐蔽性差 较主流的工作组权限维持通常有三种 本篇讲第三种
基于系统功能特性的权限维持 部分前面提及的后门方式也可归入此类。因篇幅所限 上述手法仅作最基础的展示 如希望
深入可参考persistence-aggressor-script 项目中的persistence.cna脚本。