如何将风险应用加入白名单_如何滥用Catalog文件签名机制绕过应用白名单

最新推荐文章于 2024-04-25 12:23:06 发布
最新推荐文章于 2024-04-25 12:23:06 发布
阅读量394 收藏 1
点赞数 1
文章标签: 如何将风险应用加入白名单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31652625/article/details/112160809
版权

61326f8a5f697e9afc3c0d1b15abb0af.png
译文声明
本文是翻译文章,文章原作者bohops,文章来源: http:// bohops.com
原文地址: https:// bohops.com/2019/05/04/a busing-catalog-file-hygiene-to-bypass-application-whitelisting/
译文仅供参考,具体内容表达以及含义原文为准

一、前言
上周我在BsidesCharm 2019上做了一次演讲,简单讨论了COM方面内容,重点介绍了绕过Windows应用控制解决方案的一些技术。其中有个技术用到了Catalog文件中存在的一个问题,具体而言,老版本代码在更新版Windows依然处于已签名状态。
在本文中,我们将与大家讨论如何滥用Catalog文件签名机制绕过应用程序白名单(AWL),也会给出相应的缓解建议。
二、Catalog文件签名机制
代码签名是广泛使用的一种技术,可以用于验证文件完整性以及认证身份。Windows系统采用Authenticode作为代码签名技术,用来“帮助用户确认当前正在运行代码的创建者……也可以用来验证代码在发布后是否被更改或者篡改过”(Digicert)。微软使用两种方式来实现Authenticode:

  • 内嵌方式:将Authenticode签名数据存放在文件中;
  • Catalog文件:包含文件指纹(thumbprint)列表的一个文件,该文件经过Authenticode签名(Microsoft Docs)。

在Windows中,许多“经过签名”的文件实际上是采用catalog签名方式。这些“已签名”文件实际上并没有包含Authenticode签名数据块。相反,这些文件实际上采用“代理签名”方式,将文件指纹(哈希)存放到catalog文件中。为了判断文件是否经过签名、采用何种方式签名,我们可以使用PowerShell的Get-AuthenticodeSignature cmdlet:

7dda694ced1d0d8a6e5ee87b19127dcc.png


有趣的是,最近我发现微软在操作系统版本更新后,“管控的”catalog文件并没有相应得到一致性维护。这意味着早期版本操作系统(如Windows 10 Version 1803 Build 17134.1)中签名的代码(如二进制文件、脚本等)在系统更新后(比如更新至Windows 10 Version 1803 Build 17134.472)可能处于有效状态。简而言之,我们可以利用这一点来滥用老版的、存在漏洞代码。这里我们来讨论一种滥用场景:绕过AWL。三、绕过应用程序白名单
在一月份时我发表过关于CVE-2018-8492的一篇文章,这个漏洞可以绕过Windows Defender Application Control(Device Guard),使用XML样式表转换来执行未签名scriptlet代码。在Windows Lockdown Policy(WLDP)下,我们可以初始化Microsoft.XMLDOM.1.0(Microsoft.XMLDOM)COM对象,在“存在漏洞的”transformNode方法被patch之前,访问和调用该方法:

fd610df37767db3d6444684b2d5bcadd.png


2018年11月,微软patch(替换)了Microsoft.XMLMSXML3.DLL对应的服务端程序,之后transformNode方法再也无法调用scriptlet代码:

f0acb07e452390336379c57627bfe493.png


在搭建新的WDAC虚拟机时,我想到了一个问题:我是否可以重新引入老版本代码来“重放攻击”,绕过这种安全控制呢?
在复制一些二进制文件后(在我的测试环境中,我复制了MSXML3.dll及其依赖项),我发现只要处于相同版本序列中,老版本的文件实际上还处于catalog签名状态,因此自然也会被操作系统所信任:

65dc31f8c5f8616ae3e6f860cd76756c.png


注意:在某些情况下,WinSxS目录中可能还有存在漏洞的程序文件。
在之前的文章中,我提到了COM劫持技术,这种技术似乎适用于这种catalog文件签名场景。大家都知道,大多数COM类(元)数据存放在HKEY_LOCAL_MACHINESOFTWARECLASSESCLSID注册表键值中,这些元数据实际上会合并到HKEY_CLASSES_ROOTCLSID中。有趣的是,攻击者可以在HKEY_CURRENT_USERSOFTWARECLASSESCLSID中重新创建类似的结构来覆盖这些值。当合并到HKCR中时,这些值优先级较高,会覆盖HKLM中的值。在我们的测试案例中,我们可以利用这种方式,导出HKLMMicrosoft.XMLDOM.1.0 COM类的Class ID(CLSID)子健,修改必要的值以便导入HKCU中,将服务器(InProcServer32)对应的键值指向我们“之前版本的”MXSML3.dll库。

db7c67809fcfd93f03bfb26660e25521.png


将这些值导入注册表后,被修改后的值将成功合并到HKCR中:

aa5bc45c4fda5beaa6db8ef19a0b1381.png


一切准备就绪后,我们可以简单重新执行之前的攻击过程,观察攻击结果:

c2287ac6a52a121971fc9c8b09460c67.png


大功告成。结果表明我们可以利用Catalog文件签名问题,使用老版本、经过签名的代码发起攻击,绕过WDAC。四、缓解建议
微软并没有通过补丁方式解决核心问题,而是选择在WDAC推荐阻止规则策略中,为某些DLL添加新规则来缓解该问题。尽管这种方式可以阻止已知的几种规避技术,但Catalog文件签名机制仍然存在被滥用的风险,比如WDAC绕过技术等。无论如何,如果大家安装了AWL解决方案,最好还是将这些阻止规则添加到WDAC策略中。
想要检测COM劫持是比较困难的一个任务,这跟当前环境的透明程度以及所部署的EDR解决方案的跟踪配置/功能有关。监控更改的注册表键值(特别是COM类对象以及InprocServer32/LocalServer32键值)可能是不错的选择(如果发现替换的程序文件不在System32/SysWow64目录中就更加可疑)。此外,我们也可疑重点关注一些有趣的二进制文件,包括scrobj.dllmsxml3.dllmsxml6.dllmshtml.dllwscript.exe以及cscript.exe
这篇文章中提到的一些建议同样可以用来解决WDAC问题。比如可以增加透明度,便于发现Active Scripting、PowerShell以及COM对象实例化滥用操作。五、参考资料
关于COM、相关WDAC绕过技术以及Windows信任机制方面的内容,我建议大家可以参考其他研究人员提供的如下资料/白皮书:

  • COM In 60 Seconds by James Forshaw(@tiraniddo)
  • Sneaking Past Device Guard by Philip Tsukerman(@PhilipTsukerman)
  • Subverting Trust in Windows by Matt Graeber(@mattifestation)


六、时间线

  • 2018年12月:向MSRC反馈该问题,MSRC分配了报告案例
  • 2019年3月:MSRC表示将推出补丁,分配CVE编号
  • 2019年4月:MSRC决定不推出补丁,而是在WDAC推荐阻止规则策略中添加待阻止的DLL列表
抹茶奶盖大杯多冰
关注
你必须收藏的Greenplum常用pg_catalog监控语句
MyySophia的博客
11-29 2065
Greenplum把元数据保存在系统表中。在Greenplum的系统表里,用户可以找到关于集群状态的几乎所有信息。Greenplum资深用户小徐将在本文详细揭秘最常用的系统表信息。 目录 1.Greenplum 基本查询信息 1.1Greenplum 常用查询 1.2Greenplum 触发器,锁,类型等相关信息 1.3Greenplum 故障检测相关的信息 ...
doris配置hive的catalog
JustinMars的博客
07-05 1964
查询hive的database。创建hive的catalog
实现应用程序白名单
weixin_41783960的博客
03-22 3536
应用程序白名单 最近接触应用程序白名单,这里对应用程序白名单的概念进行简单的介绍。 文章地址:https://www.acsc.gov.au/publications/protect/application_whitelisting.htm 介绍 应用程序白名单是确保系统安全的最有效的防御策略之一。因此,在减少网络安全事件的必不可少的"八项策略"中,使用应用程序白名单作为其中之一。 本文档提供了关...
网络靶场实战-杀软EDR对抗-脱钩
最新发布
蛇矛实验室
04-25 1150
一般的杀毒软件会在我们进程启动的时候注入DLL到进程中,然后对系统函数进行Hook(挂钩).从而拦截我们进程的执行流程,当然这个流程只针对于未被添加到白名单的程序.我们来看下效果图.这里我设置了白名单为apps目录,在次目录下不会被检测.我们运行一个系统自带的软件Notepad来看下效果.首先X64dbg附加进程我们随便搜索一个函数看看是否被HOOK。
[每天解决一问题系列 - 0007] 如何创建Catalog并用其签名
weixin_30649641的博客
01-30 119
问题描述: 校验一组文件的完整性 解决方法: https://msdn.microsoft.com/en-us/library/windows/desktop/aa386967(v=vs.85).aspx 转载于:https://www.cnblogs.com/xixifusigao/p/4244603.html...
文件上传验证绕过技术总结
07-24
文件上传验证绕过技术总结,可以学习一下啊,比较全面了
如何将风险应用加入白名单_我告诉你风险应用白名单怎么设置
weixin_36075657的博客
12-30 6239
我们以vivo手机为例,首先打开“i管家”App,然后点击左下方的“安全检测”按钮,等待安全检测完毕后会自动弹出风险选项,此时我们需要点击应用进入风险选项的详情页,接着点击页面右上角的“…”按钮,在弹出的菜单中点击“加入白名单”按钮即可。vivo手机使用必备小技巧:1.将电话号码导入SIM卡中--首先打开手机的“设置”应用,然后点击“系统应用设置”选项,接着点击“联系人”选项,之后点击“导入/导出...
mysql设置catalog_Catalog与Schema
weixin_28585773的博客
02-03 2039
按照SQL标准的解释,在SQL环境下Catalog和Schema都属于抽象概念,可以把它们理解为一个容器或者数据库对象命名空间中的一个层次,主要用来解决命名冲突问题。从概念上说,一个数据库系统包含多个Catalog,每个Catalog又包含多个Schema,而每个Schema又包含多个数据库对象(表、视图、字段等),反过来讲一个数据库对象必然属于一个Schema,而该Schema又必然属于一个Ca...
驱动签名及创建cat文件
05-28
在本话题中,我们将详细探讨如何创建和签署`.cat`(Catalog File)文件,这是驱动签名过程中的关键步骤。 首先,`.cat`文件是Windows系统用来存储关于驱动文件元数据的安全文件,它包含了文件的哈希值,用于验证...
Postgres Schema information_schema pg_catalog
zhu4674548的专栏
08-21 1万+
今天讨论Postgres中两个重要的系统Schema:information_schema与pg_catalog 首先,我们通过查看pg_catalog.pg_namespace来查看当前数据库中全部的Schema qingping=> select oid,* from pg_catalog.pg_namespace; oid | nspname | n...
文件数字签名校验与信息获取
c/c++、x86汇编、Win32汇编、逆向、破解
02-10 6580
方法一、二兼容XP,三不兼容XP。 方法一: /* * An example of file signature verification using WinTrust API * Derived from the sample vertrust.cpp in the Platform SDK * * Copyright (c) 2009 Mounir IDRASSI . Al
绕过应用程序白名单技巧
hl1293348082的专栏
03-28 1345
在内网渗透中,经常会在内网主机执行执行的渗透工具的时候出现执行不起来的情况,很多时候是由与安全软件做了白名单限制,只允许指定的白名单中的应用程序启动,这时我们就需要利用白名单中的程序做我们想做的事情,执行我们想要执行的程序,下面就给大家分享几个绕过白名单执行应用程序的姿势。 一、通过 csharp 编译文件绕过防病毒软件 1、下载 CSharp 文件 wget http://tinyurl.com/InstallUtil-ShellCode-cs 2、使用 msfvenom 生成一个 msf
文件签名
迟到的程序猿
12-18 5544
转自:http://www.garykessler.net/library/file_sigs.html This table of file signatures (aka "magic numbers") is a continuing work-in-progress. I have found little information on this in a single plac
文件上传-绕过白名单验证
热门推荐
qq_25899635的博客
05-21 1万+
绕过黑名单验证(00截断绕过) 00截断原理 0x00是十六进制表示方法,是ascii码为0的字符,在有些函数处理时,会把这个字符当做结束符。 系统在对文件名的读取时,如果遇到0x00,就会认为读取已结束。 在PHP5.3之后的版本中完全修复了00截断。并且00截断受限于GPC,addslashes函数。 GET型00截断 GET型提交的内容会被自动进行URL解码。 注意:一定要关闭GPC,否则无...
改注册表手动设置UAC白名单
darkread的专栏
01-17 1万+
HKEY_CURRENT_USERS\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers 键下面新建值,值的名字是程序的全路径,值数据是“RunAsInvoker”。而且可以用","使用多个设置,比如XP SP3兼容等。 以后可以写个程序,让管理自动一点。
应用白名单:方法与挑战
weixin_41783960的博客
03-26 2215
应用白名单:方法与挑战 这是关于白名单的第二篇文章,对白名单的一些方法和面临的问题进行了一些分析,也是属于概念范畴。 文章地址:https://www.researchgate.net/publication/235981426_APPLICATION_WHITELISTING_APPROACHES_AND_CHALLENGES 摘要 对于企业网络、家庭电脑而言,恶意软件是一个一直存在的问题。即使...
Catalog概念(一)之catalog
wy358509的博客
04-18 1万+
原文地址:by type【转】">Catalog概念(一)之catalog by type【转】作者:朱小爱Catalog描述了数据集的属性和数据集的位置,这样用户不需要指出数据集的位置就可以获得某个数据集。多个user catalog包含了用户数据集的信息,和一个单一的master catalog包含了系统数据集和user catalog的入口。 在OS/390里,控制catalog的组件,也
获取文件catlog签名信息
darthas的专栏
01-03 1665
直接嵌入在文件里的签名信息获取很简单,文件上右键属性-签名信息就可以看到 catlog签名稍微麻烦一下, 1.如果只是想验证签名,用WinVerifyTrust这样的high level api即可,示例代码如下(from sysinternal:https://forum.sysinternals.com/howto-verify-the-digital-signature-of-a-fil
如何将风险应用加入白名单_如何利用BGInfo绕过应用程序白名单
weixin_30563851的博客
12-30 707
0x00 前言最近看到一篇有趣的文章《Bypassing Application Whitelisting with BGInfo》,介绍了如何通过BGInfo实现白名单绕过,我对此很感兴趣,于是对这部分内容做了学习整理,同时开源了一个powershell脚本,用于自动生成.bgi文件0x01 简介本文将要介绍如下内容:Bginfo简介通过Bginfo绕过白名单的实际操作如何使用powershel...
构建Android应用监控内部数据库:蓝莓_fx服务部署教程
本篇文章主要介绍了如何在IBM Bluemix平台上构建一个Android应用程序,用于监视内部数据库表值的过程。该应用程序通过集成多种移动服务来实现对数据库的监控功能。以下是详细的步骤: 1. **创建Bluemix服务 - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值