两种利用COM劫持实现的后门方式 (劫持ip)
编辑:rootadmin
UseCOMObjecthijackingtomaintainpersistence——Hijackexplorer.exe0x前言 在之前的文章介绍了两种利用COM对象*实现的后门,利用思路有一些分别:第一种,通过CLR*.Net程序 正常CLR的用法: 设置注册表键值HKEY_CURRENT_USER\Software\Classes\CLSID\ cmd下输入: SETCOR_ENABLE_PROFILING=1SETCOR_PROFILER={----} CLR能够*当前cmd下所有.Net程序的启动后门利用思路: 我尝试通过WMI修改环境变量,使CLR作用于全局,就能够*所有.Net程序的启动 经实际测验,该方式有效,*启动后默认会调用.Net程序,加载CLR,后门触发 第二种,*CAccPropServicesClass和MMDeviceEnumerator 该方式曾被木马COMpfun运用,所以思路也是从COMpfun学到的 设置注册表键值HKEY_CURRENT_USER\Software\Classes\CLSID\能够指定实例CAccPropServicesClass和MMDeviceEnumerator对应加载的dll 而IE浏览器进程iexplore.exe启动时会调用以上两个实例 所以通过注册表设置CAccPropServicesClass和MMDeviceEnumerator对应加载的dll,能够*IE浏览器的启动,实现后门触发 当然,该方式只能算得上是一个被动后门,只有用户启动IE浏览器,才能触发后门 然而,在众多COM对象中,可供利用的*对象不唯一,甚至存在能够*桌面进程explorer.exe的方式,相当于一个主动后门 例如:*MruPidlList注: 该方式曾被多个已知的恶意软件运用 本着通过研究所有已公开的COM对象后门利用方式,进而总结应对COM*防御方式的原则,本文将要介绍另外两种COM*的后门利用方式本文将要介绍以下内容通过*MruPidlList实现的后门思路恶意利用实例总结应对COM*的防御方式0x通过*MruPidlList实现的后门思路注册表位置:HKCU\Software\Classes\CLSID\创建项{aedc--fd-b9a3-0cfeabec1}创建子项InprocServerDefault的键值为测验dll的绝对路径:C:\test\calc.dll创建键值:ThreadingModelREG_SZApartment如下图
该注册表位置对应COM对象MruPidlList,作用于shell.dll 而shell.dll是Win的位外壳动态链接库文件,用于打开网页和文件,建立文件时的默认文件名的设置等大量功能 直观的理解,explorer.exe会调用shell.dll,加载COM对象MruPidlList *在启动时默认启动进程explorer.exe,如果*了COM对象MruPidlList,就能*进程explorer.exe,实现后门随*开机启动,相当于是主动后门 当然,为便于测验,不需要重新启动*,结束进程explorer.exe再新建进程explorer.exe就好 新建进程后,加载calc.dll,弹出计算器,如下图 测验位*,注册表位置不变,但是需要换用位dll,重新启动时后门触发,启动calc.exe,如下图 Win8*同样适用,如下图 0x恶意利用实例1、COMRAT 怀疑与Uroburos和Agent.BTZ同源 Uroburos:至今发现的最先进rootkit恶意程序之一 Agent.BTZ:一款在年用于渗透五角大楼的恶意软件详细资料: ZeroAccessrootkit:感染过大约多万台计算机详细资料: ZeroAccessrootkit还运用过另一个COM*的位置 注册表位置:HKCU\Software\Classes\clsid\{fbeb8a-beee--e-d6ce9} 利用方式同上,也能够*explorer.exe3、BBSRAT 详细资料: 0x防御 由于COM对象是*作*的正常功能,禁用COM对象不太现实 以下键值指向的dll路径应该特别注意:HKCU\Software\Classes\CLSID{aedc--fd-b9a3-0cfeabec1}HKCU\Software\Classes\CLSID{fbeb8a-beee--e-d6ce9}HKCU\Software\Classes\CLSID{b5fb--b1-a6ee-bdb4a5e7}HKCU\Software\Classes\WowNode\CLSID{BCDE-EF-C-8E3D-CE}防御方式: 1、运用使用程序白名单规则,禁止加载第三方dll 2、对注册表HKCU\Software\Classes\CLSID\的写入和修改*作进行记录并调查 更多关于COM对象*的资料可参考: 0x最后总结 本文介绍了两种利用COM*实现的后门方式,结合之前文章的两种利用方式,综合分析COM*的防御方式。特别值得注意的是,COM*后门能够绕过Autoruns对启动项的检测,实际防御时应该注意该细节。
整理分享两种利用COM劫持实现的后门方式 (劫持ip),希望有所帮助,仅作参考,欢迎阅读内容。
内容相关其他词:cmd劫持,劫持api教程,劫持用户,两种利用com劫持的方法,两种利用com劫持的方法,劫持api教程,劫持api教程,两种利用com劫持的行为,内容如对您有帮助,希望把内容链接给更多的朋友!
该注册表位置对应COM对象MruPidlList,作用于shell.dll 而shell.dll是Win的位外壳动态链接库文件,用于打开网页和文件,建立文件时的默认文件名的设置等大量功能 直观的理解,explorer.exe会调用shell.dll,加载COM对象MruPidlList *在启动时默认启动进程explorer.exe,如果*了COM对象MruPidlList,就能*进程explorer.exe,实现后门随*开机启动,相当于是主动后门 当然,为便于测验,不需要重新启动*,结束进程explorer.exe再新建进程explorer.exe就好 新建进程后,加载calc.dll,弹出计算器,如下图 测验位*,注册表位置不变,但是需要换用位dll,重新启动时后门触发,启动calc.exe,如下图 Win8*同样适用,如下图 0x恶意利用实例1、COMRAT 怀疑与Uroburos和Agent.BTZ同源 Uroburos:至今发现的最先进rootkit恶意程序之一 Agent.BTZ:一款在年用于渗透五角大楼的恶意软件详细资料: ZeroAccessrootkit:感染过大约多万台计算机详细资料: ZeroAccessrootkit还运用过另一个COM*的位置 注册表位置:HKCU\Software\Classes\clsid\{fbeb8a-beee--e-d6ce9} 利用方式同上,也能够*explorer.exe3、BBSRAT 详细资料: 0x防御 由于COM对象是*作*的正常功能,禁用COM对象不太现实 以下键值指向的dll路径应该特别注意:HKCU\Software\Classes\CLSID{aedc--fd-b9a3-0cfeabec1}HKCU\Software\Classes\CLSID{fbeb8a-beee--e-d6ce9}HKCU\Software\Classes\CLSID{b5fb--b1-a6ee-bdb4a5e7}HKCU\Software\Classes\WowNode\CLSID{BCDE-EF-C-8E3D-CE}防御方式: 1、运用使用程序白名单规则,禁止加载第三方dll 2、对注册表HKCU\Software\Classes\CLSID\的写入和修改*作进行记录并调查 更多关于COM对象*的资料可参考: 0x最后总结 本文介绍了两种利用COM*实现的后门方式,结合之前文章的两种利用方式,综合分析COM*的防御方式。特别值得注意的是,COM*后门能够绕过Autoruns对启动项的检测,实际防御时应该注意该细节。 
