最近在分析GandCrab_v5.0.3版本的勒索病毒,感觉可能每一版都藏一些新的技术吧,截止我发本篇文章之前,已经出现了v5.0.5版本,发布本篇文章主要是为了揭开勒索病毒使用各种猥琐技术的面纱,让更多人了解和学习到,我自己本身也是一直在学习,我的每一篇文章初衷都很简单,就是帮助大家更好的学习这方面的知识,这里我就简单的说下它里面用到的UAC Bypass方式。顺便说一下,这两种方式都是我已经验证过了,有效。
该图是JS母体根据系统是否运行有windows defender服务选择性释放的恶意JS脚本
图中的if...else结构就是针对Win 10和Win 7的两种不同绕过UAC方式。
Win 10系统:
绕过UAC原理:因为%windir%\System32\fodhelper.exe运行时会检查打开注册表路径HKCU\Software\Classes\ms-settings\shell\open\command(不存在),检查注册表路径下是否有DelegateExecute键,如果满足这2个条件,就执行Default键值下保存的命令行。
如果想知道它一定会打开上述说的路径吗?可以用Procmon工具监控看一下注册表那一栏就可以。
UAC绕过(打开UAC默认权限,用户账户->更改用户账户控制