RDB中情局金库Windows后门利用方法分析

0x00 前言

在上一篇文章《CIA Hive测试指南——源代码获取与简要分析》中，我们研究了维基解密公布的名为Vault 8的文档，并简要分析了服务器远程控制工具Hive。

本文将继续分析维基解密公布的CIA相关资料，并介绍Vault 7中远程开发分支(RDB)提到的Windows后门利用方法。

信息地址：

https://wikileaks.org/ciav7p1/cms/page_2621760.html

0x01 简介

本文将分析以下后门利用方法：

VBR持久性

图像文件执行选项

OCI。DLL服务持久性

外壳扩展持久性

Windows传真DLL注入

0x02 VBR Persistence

用于在Windows系统启动过程中执行后门，可以挂接内核代码。

VBR的全称是卷引导记录(也称为分区引导记录)。

对应的工具是赃物2.0(未公开)

被盗货物文件的地址：

https://Wikileaks . org/vault 7/document/StolenGoods-2 _ 0-user guide/

特点：

能够在Windows启动期间加载驱动程序(驱动程序不需要签名)

适用于WinXP(x86)和Win7(x86/x64)

这种方法来自https://github.com/hzeroo/Carberp.

注：

《https://github.com/hzeroo/Carberp》中包含的源代码值得进一步研究。

0x03 Image File Execution Options

通过配置注册表实现执行程序的重定向。

修改方法(劫持notepad.exe):

注册表路径：

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ Image File执行选项\

新建notepad.exe

新字符串值，名称：notepad.exe，路径“C:\windows\system32\calc.exe”

相应的cmd命令是：

REG add ' hklm \ SOFTWARE \ Microsoft \ Windows NT \ current version \ Image File Execution Options \ notepad . exe '/v Debugger/t REG _ SZ/d ' C:\ Windows \ system32 \ calc . exe '/f

启动notepad.exe，实际程序是' C:\windows\system32\calc.exe '

注：

通常修改这个位置的注册表会被杀毒软件拦截。

0x04 OCI.DLL Service Persistence

用MSDTC服务加载dll实现自启动。

暗影部队曾经是域环境中的后门，CIA通过文档猜测这种方法可以用在非域环境中。

我在上一篇文章中介绍了这种利用方法：

https://3gstudent.github.io/Use-msdtc-to-maintain-persistence/

本文中使用的方法是将dll保存在C:\Windows\System32\

CIA使用的方法是将dll保存在C:\Windows\System32\wbem\

这两个位置都可以，MSDTC服务启动时会依次查找以上两个位置。

0x05 Shell Extension Persistence

通过COM dll劫持explorer.exe的启动过程

我在上一篇文章中也介绍过这个想法，地址如下：

https://3g student . github . io/Use-COM-Object-jacking-to-maintain-persistence-jacking-explorer . exe/

注：

这种方法已经被很多知名的恶意软件使用过，比如COMRAT、ZeroAccess rootkit和BBSRAT。

0x06 Windows FAX DLL Injection

通过DLL劫持，劫持Explorer.exe对fxsst.dll的加载

C:\Windows\System32\fxsst.dll将在Explorer.exe启动时加载(默认情况下，该服务是为传真服务打开的)。

将payload.dll保存在c:\ Windows \ fxst . dll中，可以实现dll劫持，劫持Explorer.exe加载fxsst.dll。

如需更早的公共利用方法，请参考以下链接：

https://room 362 . com/post/2011/2011-06-27-fxsstdll-持久性-邪恶-传真机/

0x07 小结

本文分析了Vault7中远程开发分支(RDB)提到的Windows后门的利用方法，可以看出这部分内容会借鉴已公布的利用方法。

我对已公布的使用Windows后门的方法(包括我自己公布的方法)做了一个系统的收集，地址如下：

https://github . com/3g student/Pentest-and-Development-Tips/blob/master/readme . MD # Tips-30-windows-persistence

留下回复