COM对象劫持,深入讲解网络安全

最新推荐文章于 2024-04-17 07:22:47 发布
最新推荐文章于 2024-04-17 07:22:47 发布
阅读量611 收藏 8
点赞数 8
分类专栏: 2024年程序员学习 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60635321/article/details/137390481
版权

Allaple蠕虫家族

在执行期间部署多个指向恶意 DLL 的 COM 对象

广告软件

Citrio 是 Catalina Group 设计的广告软件 Web 浏览器,在其最新版本中使用COM 对象来持久保留 CLSID{F4CBF20B-F634-4095-B64A-2EBCDD9E560E}。它会释放几个有害的 DLL,其中一个伪装成 Google Update(goopdate.dll),也称为 psuser.dll,它具有在系统上建立服务并使用 COM 对象进行持久化的能力。

常用于存储恶意负载的文件夹

到目前为止,我们看到的大多数恶意DLL通常存储在C:\ Users \ \ AppData \ Roaming \目录中。通常在此目录下创建子文件夹,其中最常见的包括:
\qmacro
\mymacro
\MacroCommerce
\Plugin
\Microsoft

除了这些,我们还发现以下文件夹经常被用来隐藏恶意DLL:
C:\Windows\SysWow64是64位Windows版本中的一个文件夹,包含合法的32位系统文件和库,经常被用来隐藏恶意DLL。它的普遍存在使其成为一个吸引人的藏匿地点,增加了检测的复杂性。但是,需要具备权限才能在其中创建文件。

C:\Program Files(x86)文件夹是另一个用于存储恶意COM劫持负载的合法目录。与\AppData\Roaming类似,在这种情况下,我们观察到恶意DLL存储在特定的子文件夹下,例如“\Google”、“\Mozilla Firefox”、“\Microsoft”、“\Common Files”或“\Internet Download Manager”。

C:\Users<user>\AppData\Local是另一个用于存储这些负载的文件夹,包括“\Temp”、“\Microsoft”和“\Google”子文件夹。

总结:

对于上面COM劫持利用方式,有如下Sigma规则:

https://github.com/SigmaHQ/sigma/blob/master/rules/windows/registry/registry_set/registry_set_persistence_search_order.yml

https://github.com/SigmaHQ/sigma/blob/master/rules/windows/registry/registry_set/registry_set_persistence_com_hijacking_susp_locations.yml

以下是一个示例规则,例如使用vt.behaviour.registry_keys_set修饰符。规则会生成一些噪声,因此建议通过排除某些常见的家族(如Berbew)来进行优化。

import “vt”

rule CLSID_COM_Hijacking: {
meta:
target_entity = “file”
hash = “a19472bd5dd89a6bd725c94c89469f12cdbfee3b0f19035a07374a005b57b5e0”
author = “@Joseliyo_Jstnk”
sigma_authors = “Maxime Thiebaut (@0xThiebaut), oscd.community, Cédric Hien”
mitre_technique = “T1546.015”
mitre_tactic = “TA0003”

condition:
vt.metadata.new_file and vt.metadata.analysis_stats.malicious >= 5 and
for any vt_behaviour_sigma_analysis_results in vt.behaviour.sigma_analysis_results: (
vt_behaviour_sigma_analysis_results.rule_id == “7f5d257abc981b5eddb52d4a9a02fb66201226935cf3d39177c8a81c3a3e8dd4”
)
}

参考:

https://blog.virustotal.com/2024/03/com-objects-hijacking.html

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!

AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算

Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**

m0_60635321
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
com组件 的劫持_COM Object hijacking后门的实现思路——劫持CAccPropServicesClass和MMDeviceEnumerator...
weixin_34954308的博客
12-29 200
0x00 前言在之前的文章《Use CLR to maintain persistence》介绍了通过CLR劫持所有.Net程序的方法,无需管理员权限,可用作后门。美中不足的是通过WMI添加环境变量需要重启系统。本文将继续介绍另一种后门的利用方法,原理类似,但优点是不需要重启系统,同样也不需要管理员权限。注:本文介绍的方法曾被木马COMpfun使用详细介绍地址:0x01 简介本文将要介绍以下内容:...
COM劫持 BypassUAC
weixin_45682070的博客
11-21 861
什么是comcomComponent Object Model(组件对象模型)的缩写 come是微软公司未来计算机工业的软件生产更符合人类的行为方式开发的一种新的软件开发技术。在com架构下,人们可以开发各种各样的功能专一的组件, 然后将他们安装需要组合起来,构成复杂的应用系统 这里不得不说一下CLSID CLSID(Class Identifier)全局唯一标识符,CLSID是指windows系统对于不同的应用程序,文件类型,OLE对象,特殊文件夹以及各种系组件分配的一个唯一表示他的ID代码, 用来
COM对象劫持
weixin_55030700的博客
03-13 1740
以下是一个示例规则,例如使用修饰符。规则会生成一些噪声,因此建议通过排除某些常见的家族(如Berbew)来进行优化。
Web安全攻防渗透测试
m0_63223219的博客
04-05 6796
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 ...
打开文件夹就运行?COM劫持利用姿势
killcoco的小窝
04-14 1666
打开文件夹就能运行指定的程序?这不是天方夜谭,而是在现实世界中确实存在的。利用本文探讨的COM劫持技术,可以轻松实现出打开文件夹就运行指定代码的功能。对于COM劫持技术,国内很少有资料进行原理阐述,本文结合自身分析经验对COM劫持技术进行归纳总结。同时,希望各大安全厂商针对此类利用做好防护,保护用户信息安全。 前言 所谓“骂人先骂娘,擒贼先擒王”,首先给出读者最最关心的劫持文件夹的利用
DLL劫持COM劫持、Bypass UAC利用与挖掘
weixin_44216796的博客
12-30 1011
倾旋大佬:https://payloads.online/ DLL劫持 何为劫持 “在正常事物发生之前进行一个旁路操作” DLL是什么 DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。 DLL的加载过程 程序所在目录 程序加载目录(SetCurrentDirecctory) 系统目录即SYSTEM32目录 16位系.
如何使用COM-Hunter检测持久化COM劫持漏洞
阿道夫的博客
03-01 998
1、在目标用户的计算机中查找有效的CLSID;2、通过目标用户计算机中的任务调度器(Task Scheduler)查找有效的CLSID;3、找出是否有人已经使用了这些有效的CLSID来进行持久化COM劫持(LocalServer32);4、找出是否有人通过任务调度器(TaskScheduler)使用了任何有效的CLSID来执行持久化COM劫持(LocalServer32);5、尝试通过任务调度器(Task Scheduler)自动执行持久化COM劫持
com组件 的劫持_打开文件夹就运行?COM劫持利用新姿势
weixin_42518981的博客
12-29 401
*本文原创作者:菠菜,本文属FreeBuf原创奖励计划,未经许可禁止转载打开文件夹就能运行指定的程序?这不是天方夜谭,而是在现实世界中确实存在的。利用本文探讨的COM劫持技术,可以轻松实现出打开文件夹就运行指定代码的功能。对于COM劫持技术,国内很少有资料进行原理阐述,本文结合自身分析经验对COM劫持技术进行归纳总结。同时,希望各大安全厂商针对此类利用做好防护,保护用户信息安全。前言所谓“骂人先骂...
com组件 的劫持_一种劫持COM服务器并绕过微软反恶意软件扫描接口(AMSI)的方法...
weixin_39660922的博客
12-29 247
Microsoft的反恶意软件扫描接口(AMSI)在Windows 10中被引入,作为标准接口,它可以让AV引擎将签名应用于内存和磁盘上的缓冲区。这使得AV产品能够在脚本解释之前“hook”,这意味着任何经过混淆或加密的PS程序都经过了解密程序的解密。你可以在这里和这里阅读有关AMSI的更多信息。这篇文章将介绍一种通过劫持COM服务器来绕过AMSI的方式,并分析Microsoft是如何在build...
科普_COM组件劫持原理与实践
KHOST的博客
09-08 1125
0x00 前言 在术的道路上,从来都是独善其行,如能结余同行,自当求之不得。 玄幻小说的世界结构,放之现代也是同理,望成之所成,念之所念。 0x01 什么是COM 什么是COM,说白了,就是一堆功能相关的interface,它是某种语言向另一种语言暴露功能的最大单位。 COMcomponent(COM组件)是微软公司为了计算机工业的软件生产更加符合人类的行为方式开发的一种新的软件开发技术...
家庭网络安全 网络劫持与预防.pdf
09-20
家庭网络安全 网络劫持与预防.pdf
网络安全简答题1.docx
11-08
网络安全简答题 1、中间人攻击? 2、有哪几种访问控制策略? 3、缓冲区溢出攻击的原理是什么? 4、云安全的理解 5、访问控制包括哪几个层次? 6、DDOS是什么?有哪些?CC攻击是什么?区别是. 7、land攻击是什么? 8...
计算机网络安全知识.ppt
12-01
计算机网络安全知识 计算机网络安全知识是指保护计算机系统、网络和数据免受非法访问、使用、披露、修改或破坏的各种技术和方法。计算机网络安全知识的重要性不言而喻,因为计算机系统和网络已经渗透到我们的日常...
计算机网络安全相关资料分享.zip
07-08
基于Cookie劫持的Deep-Web用户数据安全性分析 基于HTTP会话过程跟踪的网页挂马攻击检测方法 基于Twitter控制的移动僵尸网络 数据泄密新挑战 网游私服与背后的产业 网站离线数据安全分析漫谈 现代浏览器新安全研究 新...
网络安全与认证复习.docx
12-28
网络安全的基本概念、网络协议基础、密码学在网络安全中的应用、消息认证与数字签名、鉴别函数、PKI技术、VPN技术、防火墙、Kerberos系统、Ipsec、TCP会话劫持、ARP欺骗、PGP技术
Windows Hook经验总结之四:COM组件Hook原理及实践
ITer之家
11-17 4894
前面已经介绍过API的hook方法及具体实践,本文则讲述COM组件的Hook方式。COM组件可简单理解为一个二进制可执行程序或DLL,内部包含一系列的接口和函数。Hook COM本质上也是进行函数地址切换,让它跳到我们自定义的函数执行我们想要的功能。但这一切同样是发生在系统架构下,自定义函数的执行时机不由我们触发。
COM对象劫持,2024年最新网络安全面试真题解析火爆全网
最新发布
m0_60229361的博客
04-17 560
以下是一个示例规则,例如使用vt.behaviour.registry_keys_set修饰符。规则会生成一些噪声,因此建议通过排除某些常见的家族(如Berbew)来进行优化。
后门及持久化访问4----Com组件劫持
浅笑996的博客
07-01 973
代码及原理介绍 COMComponent Object Model(组件对象模型)的缩写,COM组件由DLL和EXE形式发布的可执行代码所组成。每个COM组件都有一个CLSID,这个CLSID是注册的时候写进注册表的,可以把这个CLSID理解为这个组件最终可以实例化的子类的一个ID。这样就可以通过查询注册表中的CLSID来找到COM组件所在的dll的名称。所以要想COM劫持,必须精心挑选CLSID,尽量选择应用范围广的CLSID。这里,我们选择的CLSID为:{b5f8350b-0548...
华中科技大学计算机网络安全dns实验
09-03
华中科技大学计算机网络安全DNS实验是一项针对计算机网络安全方向的实验项目。该实验旨在帮助学生深入了解域名系统(DNS)的工作原理、协议、攻击方法以及相应的防御措施。 在实验中,学生将通过构建实际的网络环境,搭建DNS服务器和客户端,并进行相关的攻击与防御实验。他们会学习到DNS的基本概念,例如域名解析和递归查询。此外,他们还将探索DNS缓存投毒、域名劫持、DNS劫持等常见的攻击方式,并了解如何应对这些威胁。 通过实验,学生们可以更好地了解计算机网络中的安全问题,并学习如何保护网络免受各种攻击。此外,他们还可以学习到网络攻击手段的原理和防御方法,提高自身的网络安全意识。 华中科技大学计算机网络安全DNS实验为学生提供了一个实践、探索和交流的平台,使他们能够将理论知识应用到实际场景中。这不仅有助于学生提高技术水平,还培养了学生的创新能力、问题解决能力和团队协作能力。 总之,华中科技大学计算机网络安全DNS实验是一项非常有意义和实用性的实验项目,它通过深入探索和实践,培养了学生在计算机网络安全领域的专业能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值