当前位置: 文江博客文章教程详情

CIA Vault7 RDB 中的 Windows 后门利用方法分析

发布于 2025-01-01 18:15:09 字数 3995 浏览 3 评论 0

0x00 前言

在上篇文章 《CIA Hive 测试指南——源代码获取与简要分析》 对维基解密公布的代号为 Vault 8 的文档进行了研究,简要分析服务器远程控制工具 Hive

本文将要继续对维基解密公布的 CIA 相关资料进行分析,介绍 Vault 7Remote Development Branch (RDB) 中提到的 Windows 后门利用方法

资料地址:https://wikileaks.org/ciav7p1/cms/page_2621760.html

0x01 简介

本文将要分析以下后门利用方法:

  • VBR Persistence
  • Image File Execution Options
  • OCI.DLL Service Persistence
  • Shell Extension Persistence
  • Windows FAX DLL Injection

0x02 VBR Persistence

用于在 Windows 系统的启动过程中执行后门,能够 hook 内核代码

VBR 全称 Volume Boot Record (also known as the Partition Boot Record)

对应工具为 Stolen Goods 2.0 (未公开)

Stolen Goods 的说明文档地址:https://wikileaks.org/vault7/document/StolenGoods-2_0-UserGuide/

特点:

  • 能够在 Windows 启动过程中加载驱动(驱动无需签名)
  • 适用 WinXP(x86)、Win7(x86/x64)

该方法取自 https://github.com/hzeroo/Carberp

注:https://github.com/hzeroo/Carberp 内包含的源码值得深入研究

0x03 Image File Execution Options

通过配置注册表实现执行程序的重定向

修改方式(劫持 notepad.exe):

注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

新建项 notepad.exe

新建字符串值,名称: notepad.exe ,路径 "C:\windows\system32\calc.exe"

对应 cmd 命令为:

reg add "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\calc.exe" /f

启动 notepad.exe,实际执行的程序为 "C:\windows\system32\calc.exe"

注:通常情况下,修改该位置的注册表会被杀毒软件拦截

0x04 OCI.DLL Service Persistence

利用 MSDTC 服务加载 dll,实现自启动

Shadow Force 曾经在域环境中使用过的一个后门,通过说明文档猜测 CIA 也发现了该方法可以在非域环境下使用

我在之前的文章介绍过这种利用方法,地址为:https://3gstudent.github.io/Use-msdtc-to-maintain-persistence/

我的文章使用的方法是将 dll 保存在 C:\Windows\System32\

CIA 使用的方法是将 dll 保存在 C:\Windows\System32\wbem\

这两个位置都可以,MSDTC 服务在启动时会依次查找以上两个位置

0x05 Shell Extension Persistence

通过 COM dll 劫持 explorer.exe 的启动过程

该思路我在之前的文章也有过介绍,地址如下:https://3gstudent.github.io/Use-COM-Object-hijacking-to-maintain-persistence-Hijack-explorer.exe/

注:该方法曾被多个知名的恶意软件使用过,例如 COMRATZeroAccess rootkitBBSRAT

0x06 Windows FAX DLL Injection

通过 DLL 劫持,劫持 Explorer.exe 对 fxsst.dll 的加载

Explorer.exe 在启动时会加载 c:\Windows\System32\fxsst.dll (服务默认开启,用于传真服务)

将 payload.dll 保存在 c:\Windows\fxsst.dll ,能够实现 dll 劫持,劫持 Explorer.exe 对 fxsst.dll 的加载

较早公开的利用方法,参考链接如下:https://room362.com/post/2011/2011-06-27-fxsstdll-persistence-the-evil-fax-machine/

0x07 小结

本文对 Vault7 中 Remote Development Branch (RDB) 中提到的 Windows 后门利用方法进行了分析,可以看到,这部分内容会借鉴已公开的利用方法

我对已公开的 Windows 后门利用方法做了一个系统性的搜集(也包括我自己公开的方法),地址如下:https://github.com/3gstudent/Pentest-and-Development-Tips/blob/master/README.md

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群
更多

你可能也喜欢

创建 Docker Swarm 集群

重建 CentOS 或 RHEL 上被损坏的 RPM 数据库

如何退出无响应的 ssh 会话

Maven 中 optional 关键字

FancyBox 基于 jQuery 的 Lightbox 图片查看器插件

jQuery 中如何绑定多个事件

CSS3 背景线性渐变 Linear Gradients 介绍

解决 CorelDRAW 打开文件空白的问题

上一篇:

下一篇:

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据

关于作者

懒的傷心

暂无简介

文章
评论
25 人气
发私信
更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

IDC-hncloud

文章 0 评论 0

薆情海

文章 0 评论 0

mb_VjXiXQg5

文章 0 评论 0

爱,才寂寞

文章 0 评论 0

BE WATER

文章 0 评论 0

微信用户

文章 0 评论 0

更多

友情链接

文江博客
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文