白利用什么的,最近大家都在杀嘛~~现在过hips或者scan越来越难了~
先说说没品木马们的常见手段(以下示例国内靠谱安全软件早已防范):
1. 一些未公开的启动位置——ms的启动注册表还是很多的~ 放出来样本一分析很快就会被杀了~ 能找到这种东西的孩纸还是看系统源码还是很细心的
例:RenamePendingFile这个启动点大家都知道,但其实还可以有RenamePendingFile0,RenamePendingFile1也可以哦。一开始大家不知道,木马作者就爽了一把。
2. 利用系统或者防御软件的0 day 提权——也是一波流,不过这种东西比较值钱,要真拿来干一票都是干大的= =
例:那堆CVE-XXXX 。。。
3. 利用安全软件一些处理缺陷——我感觉这种一般都是瞎试出来的= =,要是逆向跟出来的,那真是太用心了。。。
例:比如短路径处理问题C:\Users\ADMINI~1\LOCALS~1\
再或者File协议处理问题“FILE://d:/Users/super7dd/Desktop/1.EXE%20”
诸如此类的~~
4. 白利用,这种比较常见,因为最容易
通常思路是:一个木马文件A.exe 做一个操作X,操作X使白文件B.EXE启动,B.EXE直接或间接执行了一些非安全动作绕过主防或查杀= =
操作X可能是一个主防认为安全的行为,或者是一个主防根本不监控的行为。
例子1(通用):xxx.exe是一个白文件,一个未知程序将xxx.exe写入注册表启动项,劫持他的Y.DLL,成功了= =
算是通用方法,只要你找到的这个可以利用的白文件是还没有被安全厂商重点关照的。
例子2:驱动白利用,很久以前可以过主防的。A.exe修改网关,然后加载白驱动(不断网的话灰文件加白驱动还是会报),白驱动有任意内存写入漏洞= = 然后随便了= =
例子3:一个com接口的白利用
释放文件
其中the.exe 看图标就知道是OD的插件,白文件,后面加参数会作为dll启动。
操作1. 木马文件INFOC.EXE 写入注册表(即上文中的操作X,这个操作没有被hips关注)
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D45FD2FC-5C6E-11D1-9EC1-00C04FD7081F}\LocalServer32
值:"C:\XHear0\THE.EXE" UGH.DLL
这是一个COM组件的路径,组件名是MicrosoftAgent Server
操作2. INFOC.EXE调用创建com对象
CoCreateInstance(CLSID_AgentServer,NULL,CLSCTX_LOCAL_SERVER,IID_IAgent,(LPVOID*)&pAgent);
系统会加载com进程
动作是: svchost –kDcomLaunch进程以"C:\XHear0\THE.EXE" UGH.DLL –Embedding 为命令行启动新进程
操作3 UGH.DLL写入注册表启动项
SOFTWARE\\Microsoft\\Active Setup\\InstalledComponents\\{82d6f312-b0f6-11d0-94ab-0080c74c7e95}
本来这个注册表hips是会防的,但由于UGH.DLL处在一个白进程的进程空间里,所以放行了