GandCrab_v5.0.3勒索病毒中使用的UAC Bypass方式

最新推荐文章于 2024-04-16 11:07:50 发布
最新推荐文章于 2024-04-16 11:07:50 发布
阅读量816 收藏 3
点赞数
分类专栏: 逆向学习、病毒分析之路 文章标签: GandCrab_5.0.3勒索病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/userpass_word/article/details/83748233
版权
本文分析了GandCrab_v5.0.3勒索病毒如何利用UAC Bypass技术在Win 10和Win 7系统中绕过用户账户控制。病毒通过创建特定注册表路径和键值,利用fodhelper.exe和eventvwr.exe这两个微软签名的二进制文件权限提升,实现恶意程序的高权限运行。这种方法无需文件落地、进程注入或特权文件复制。
摘要由CSDN通过智能技术生成

最近在分析GandCrab_v5.0.3版本的勒索病毒,感觉可能每一版都藏一些新的技术吧,截止我发本篇文章之前,已经出现了v5.0.5版本,发布本篇文章主要是为了揭开勒索病毒使用各种猥琐技术的面纱,让更多人了解和学习到,我自己本身也是一直在学习,我的每一篇文章初衷都很简单,就是帮助大家更好的学习这方面的知识,这里我就简单的说下它里面用到的UAC Bypass方式。顺便说一下,这两种方式都是我已经验证过了,有效。

该图是JS母体根据系统是否运行有windows defender服务选择性释放的恶意JS脚本

图中的if...else结构就是针对Win 10和Win 7的两种不同绕过UAC方式。

Win 10系统

绕过UAC原理:因为%windir%\System32\fodhelper.exe运行时会检查打开注册表路径HKCU\Software\Classes\ms-settings\shell\open\command(不存在),检查注册表路径下是否有DelegateExecute键,如果满足这2个条件,就执行Default键值下保存的命令行。

如果想知道它一定会打开上述说的路径吗?可以用Procmon工具监控看一下注册表那一栏就可以。

UAC绕过(打开UAC默认权限,用户账户->更改用户账户控制

最低0.47元/天 解锁文章
ATree、063
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
操作系统权限提升(十四)之绕过UAC提权-基于白名单AutoElevate绕过UAC提权
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-26 1344
利用白名单程序的本质实际上是劫持注册表,这种方法主要是通过寻找autoElevated属性为true的程序,修改其注册表command的值,改成我们想要执行的paylaod,在该值指明的字段会在这类程序运行时自动执行,类似于默认程序打开,当你以后运行该程序时,这个command命令都会自动执行。我们在运行eventvwr.exe,程序会在注册表下去找这些值,如果这些值是一个calc的程序,那么系统在运行eventwr.exe时就会去执行一个calc.exe。我们打开注册表,去找到刚刚那个注册表的位置。
UAC Bypass for admin with default UAC settings(WIn7 8 32Bit)
05-10
UAC Bypass for Windows 7 RTM, SP1 / Windows 8 DP, CP all 32-bit for admin with default UAC settings
BypassUAC漏洞挖掘和代码集成
最新发布
蛇矛实验室
04-16 942
这里是我们要查询的关键,我们去看看注册表HKCU\Software\Classes\ms-settings\Shell\Open\command 存放的是什么。这里需要注意的是目前很多杀毒软件在我们的程序写注册表值到HKCU\Software\Classes\ms-settings\Shell\Open\command会报毒,解决办法网上也有很多种,可自行测试。在启动程序之前先创建HKCU\Software\Classes\ms-settings\Shell\Open\command的项。
PASS UAC
冷风
11-18 1177
据牛淫女X说 NTFS特性 目录连接 可以以主次关系 用有签名的文件绑定无签名文件执行没时间仔细研究把大概记录一下备忘http://hi.baidu.com/flowercode/blog/item/fdad0ffa5865fe1aa9d311ef.htmlhttp://www.debugman.com/read.php?tid=2082&fpage=4http://www.bitsum.com/
浅谈UAC ByPass
Armandhe的博客
07-20 865
这个东西也是6666啊
bypassUAC提权
yangbz123的博客
06-07 1437
目录Windows UAC概述UAC结构图UAC组件描述UAC滑块设置UAC可授权的控制漏洞提权UAC提权之MSF1、bypassuac提权2、bypassuac_eventvwr提权3、RunAs提权UAC提权之Empire1、bapassuac模块提权2、bapassuac_wscript模块提权UAC提权之CSUAC提权之powershell参考文献 Windows UAC概述 用户帐户控制(User Account Control,简写作UAC)是微软公司在其Windows Vista及更高版本操作
UAC bypass 理论学习
mengxp的博客
11-17 299
简单来说: 1.微软设计了一些有自提权功能的COM组件。最常见的是 IFileOperation,他能在某些白进程,对系统关键目录(需要提权才能访问的目录),实现文件复制、重命名、删除。简单的利用办法是注入dll到explorer然后调用IFileOperation,或者篡改PEB,伪装成explorer。或者我觉得还可以实现的方法是hook psapi。 2.微软设计了一些有自提权功能的可执行文件,在manifest清单打开autoElevate选项:<autoElevate>true
F612_V5.0.3P2T1_NAND128K_UPGRADE_BOOTLDR.bin.zip
06-20
“F612_V5.0.3P2T1_NAND128K_UPGRADE_BOOTLDR.bin”这个文件名包含了丰富的信息。"F612"是设备型号,表明这是为兴F612光猫设计的固件;"V5.0.3P2T1"是版本号,表示这是固件的第五个大版本,第三个小版本,第二个...
X_CUBE_MCSDK_V5.0.3.zip
09-23
官方最近新库,用于工程快速开发,优质算法,简化开发流程,特别是有参考学习价值Official recently new library for engineering rapid development, high quality algorithms, simplified development process, ...
Web_Video_Caster_Premium_v5.0.3.apk
02-14
如果该视频无法在您的移动设备上的Chrome上播放(因为它不是HTML5),那么它将无法与该Chromecast设备一起使用,而且并非所有适用于移动Chrome的视频都可以在该Chromecast使用,因为它的功能受到限制支持的格式数...
Metronic_V5.0.3(完整版).zip
11-16
在v5.0.3版本,它可能包含了框架的最新改进和修复,以提升性能和用户体验。该版本分为三个主要部分:docs、theme和tools。 1. **docs** 文件夹:这是框架的文档部分,通常包含详细说明、API参考、示例代码和教程...
metronic_v5.0.3 part 1 国内加速打开版
11-08
替换了里面的谷歌字体连接,换为ajax.useso.com的国内连接,打开速度更快;
BypassUAC------BypassUac On Win10 Using Disk Cleanup
moonhillcity的博客
10-20 1646
最近看到enigma0x3博客上分享了一种通过Disk Cleanup计划任务进行bypassuac的姿势,感觉还是不错的,所以在这儿分享一下。原文在这里 戳我 关于BypassUAC工具已经很多了,有个非常不错的工具 UACME 简单的说一下通过Disk Cleanup进行bypassuac的原理。 Win10有一个计划任务叫做SilentCleanup,具体位置在\Microsoft\W
通过Bypass UAC进行权限提升
good good study
01-30 3668
用户账户控制(User Account control,UAC)是windows系统采用的一种控制机制,可以阻止自动安装未经授权的应用 并防止意外更改系统设置,有助于防止恶意软件损坏计算机。用户账户控制程序使应用程序和任务始终在非管理员账户的安全上下文运行,除非管理员专门授权管理员级别的权限。开启用户账户控制后,每个需要使用管理员访问令牌的应用都必须征得用户同意。UAC限制所有用户包括非RID500的管理员用户使用标准用户登录到他们的计算机,并在标准用户的安全性上下文访问资源和运行应用。
勒索病毒GandCrabV5.0.3最新变种来袭
weixin_34326179的博客
11-12 168
GandCrab勒索病毒于2018年1月首次出现,在半年的时候之内,迅速发展,短短几个月时间里就出现了V1.0,V2.0,V3.0,V4.0等几个大的版本更新,V4.0之后又出现了V4.1,V4.2,V4.3,V4.4等几个小版本的变种样本,最近又发现它的最新变种GandCrabV5.0版本的变种样本。GandCrab的感染方式主要是通过以下几种方式:(1)RDP爆破(2)垃圾邮件,带有恶意链...
BypassUAC方式总结
Kevin's Blog
11-09 5536
文章目录一、利用场景/需求1.1 UAC介绍1.2 目的绕过二、MSF之bypassuac模块提权2.1 bypassuac_eventvwr模块提权 一、利用场景/需求 1.1 UAC介绍 UAC(UserAccount Control,用户账户控制)简言之就是在Vista及更高版本通过弹框进一步让用户确认是否授权当前可执行文件来达到阻止恶意程序的目的。 1.2 目的绕过 为了远程执行目标的exe或者bat可执行文件绕过此安全机制,以此叫BypassUAC(不进行弹窗直接运行执行文件) 具体的场景可
Windows权限提升—BypassUAC、DLL劫持、引号路径、服务权限等提权(1)
fdsgdsgdfw的博客
04-12 85
关于Windows提权应该这篇总结完就结束了,再次提醒一下关于第三方软件或插件提权,不是不写,而且有些软件都会自动更新,很多漏洞基本上很少遇到,同时也利用不了,比如说:向日葵有一个版本能够提权,但是现在那个版本装再电脑上,根本连接不上向日葵的服务器,更何谈提权呢,同时还可以看日志,目前日志也更改了,端口不会再日志出现了。前面几篇文章我就汇总在下面了,同时关于UAC提权之前一篇文章写的没那么细,这里重新补充一下。Windows权限提升—令牌窃取、UAC提权、进程注入等提权。
详解Bypass UAC过程踩过的坑(第一部分)
weixin_34178244的博客
09-18 1279
本文讲的是详解Bypass UAC过程踩过的坑(第一部分),我目前正在尝试对Chrome沙盒进行一些改进。而作为其的一部分,我现在正在对我的沙盒攻击Surface 分析工具进行更新,因为我想衡量我对Chrome做的事情是否具有实际的安全性。但事实上当我在进行这一切时,我一直躲不开绕过UAC的麻烦,这就导致进程出现了问题。所以为了顺便演示下我以前在UA...
Windows10 bypassUAC绕过用户账户控制
weixin_33858249的博客
12-27 819
版权声明:本文可能为博主原创文章,若标明出处可随便转载。 https://blog.csdn.net/Jailman/article/details/85274242 使用这个github上的...
uartassist v5.0.3
01-04
用户可以通过uartassist v5.0.3轻松地监控串口通信过程的数据传输情况,及时发现和解决问题。 此外,uartassist v5.0.3还支持多种数据格式的解析和显示,包括ASCII、Hex、十进制等,用户可以根据实际需要选择合适...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值