本帖最后由 zhaorong 于 2021-7-3 15:36 编辑

工作组权限维持(下)

​在攻击者拿到工作组某台成员主机的账号密码后 为防止密码被改 需要使用隐蔽后门等手段来维持取得的计算机权限将
二进制文件放在Windows启动项目录中是最简单的方式 但是隐蔽性差 较主流的工作组权限维持通常有三种 本篇讲第
三种基于系统功能特性的权限维持 部分前面提及的后门方式也可归入此类。

一、MSDTC

MSDTC(Microsoft Distributed Transaction Coordinator)是Windows操作系统启动微软分布式事务处理协
调器的服务该服务跟随Windows操作系统默认启动。其对应进程msdtc.exe位于C:\Window\System32\目录
下该进程调用系统Microsoft Personal Web Server和Microsoft SQL Server。该服务用于管理多个服务器是
一个并列事务 是分布于两个以上的数据库，消息队列，文件系统或其他事务保护资源管理器。MSDTC存在于
组环境和域环境中 其RPC使用的端口为135。

检查MSDTC服务 效果如下所示：


检查MSDTC服务是否启动 也可使用netstat -ano 观察135处于监听状态。

检查服务启动 效果如下所示：


MSDTC服务启动时 会搜索注册表路径 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ MSD
TCMTxOCI它加载有oci.dll SQLLib80.dll 和 xa80.dll 这 3 个DLL文件。
查看加载DLL数据 效果如下所示：


通常情况下 在计算机中不存在oci.dll文件 于是攻击者可以将恶意的DLL文件命名为oci.dll并保
存在C:\Windows\System32\目录下加以利用。在MSDTC重启后 系统将加载并执行该恶意
DLL文件 从而打开计算器程序。

系统加载恶意文件并成功打开计算器程序 效果如下图所示：


二、映像劫持

​映像劫持(Image File Execution Options)技术。实现执行A程序的同时执行B程序当域
成员机器更新完组策略后会运行cmd.exe和calc.exe程序。你可以根据需求对cmd.exe
和calc.exe程序进行修改。

未更新组策略注册表项 如下图所示：


更新组策略后注册表项 如下图所示：


三、任务计划

​任务计划是Windows操作系统自带的功能 在每个操作系统中都存在 主要用于定期运行或在指定
时间内运行命令和程序。任务计划有两种操作方式 一种方式是使用Schtasks. exe命令行工具进
行操作输入Schtasks /Create /?命令可查看参数列表。

查看参数列表 效果如下所示：


另一种方式是在 控制面板 中打开任务计划程序 通过图形化界面进行操作。

通过GUI界面操作任务计划程序 效果如下所示：


接下来 利用任务计划程序来进行测试。现在有个任务：在每天13:20运行指定文件 且该文件执行
后会弹出alice信息提示对话框。测试第一步在 任务计划程序窗口中点击 创建基本任务 得到下一
步界面 单击 下一步  按钮继续操作。

创建先导 效果如下所示：


选择任务执行的时间 如每天 每周 每月 一次 计算机启动时或当前用户登录时等
这里选择每天然后单击 下一步 按钮。
​选择每日的执行时间。选择每日13:20 执行指定的可执行文件 然后单击 下一步按钮。

选择任务操作动作 如启动程序 发邮件或显示消息等。这里选择启动程序 并指定可执行文件的
路径及参数(alice.exe不需要参数 所以留空白 然后单击 下一步 按钮。


单击 完成 按钮 计划任务添加完毕。到4:34时 任务计划自动执行并弹出桌面信息提示对话框。

自动执行弹出提示对话框 效果如下所示：


在上面的例子中 权限维持的方法是在特定时间点执行桌面上的alice.exe 此方法较容易被发现很多
时候 攻击者出于隐蔽考虑，会使用Schtasks+Regsvr32等组合方式来进行权限维持。

四、粘滞键后门

​Windows中的粘滞键是专为同时按下两个或多个键有困难的人设计的 其主要功能是方便组合使用Shift
Ctrl Alt 与 其他键。例如 在使用热键 Ctrl+C 时 用粘滞键就可以一次只按个键来完成复制功能。
在Windows操作系统中 连续按5次Shift键就可以触发粘滞键。实际上 启动运行的是\Windows
\system32\sethc.exe。基于粘滞键的触发特性 攻击者可以替换原有的可执行文件为后门程序
如替换成cmd.exe如此便可以以触发粘滞键的方式启动攻击者的后门。

粘滞键是常用的权限维持方法之一 下面简单介绍粘滞键后门部署和启动。

​执行如下命令即可快速部署粘滞键后门：

​move C:\windows\system32\sethc.exe C:\windows\system32\sethc1.exe

​copy C:\windows\system32\cmd.exe  C:\windows\system32\sethc.exe

备份原始粘滞键程序 效果如下所示：


部署粘滞键后门 效果如下所示：


部署完粘滞键后门后 通过3389端口远程登录计算机 在Windows操作系统的登录
界面中 连续按5次Shif键就可以启动粘滞键后门。

启动粘滞键后门 效果如下所示：


在上面的例子中攻击者使用cmd.exe替换粘滞键的可执行文件sethc.exe 但是使用cmd.exe当作后门可执行文件
并不是很隐蔽。例如 如果有其他攻击者通过3389端口远程登录这台服务器 他也可以使用该后门为实现后门隐蔽
很多攻击者会开发高仿的sethc.exe 其界面看起来跟正常的sethc.exe一样，用来欺骗管理员和其他攻击者。

除粘连键sethc.exe 放大镜magnify.exe也可用作后门用途 因利用手法相似此处不作展开。

五、小结

​在攻击者拿到工作组某台成员主机的账号密码后 为防止密码被改 需要使用隐蔽后门等手段来维持取得的计算机
权限将二进制文件放在Windows启动项目录中是最简单的方式 但是隐蔽性差，较主流的工作组权限维持通常有
三种 本篇讲第三种基于系统功能特性的权限维持 部分前面提及的后门方式也可归入此类。