使用com对象远足保持持久性3354劫持explorer.exe

0x00 前言

上一篇文章介绍了两种通过劫持COM对象实现的后门，在利用思路上有一些区别：

第一种，通过CLR劫持.Net程序

正常CLR的用法：

设置注册表项HKEY _当前_用户\软件\类\ clsid \

Cmd输入：

设置COR_ENABLE_PROFILING=1

SET COR _ PROFILER={ 111111111-1111-1111-1111-111111111 }

CLR可以劫持所有的启动。当前cmd下的. Net程序。

后门利用思路：

我试图通过WMI修改环境变量，使CLR全局运行，这样我就可以劫持所有的启动。Net程序。

实际测试表明，该方法是有效的。系统启动后。Net程序会默认调用，加载CLR，后门触发。

第二种，劫持CAccPropServicesClass和MMDeviceEnumerator

这种方法已经被木马COMpfun使用过，所以思路也是从COMpfun学来的。

设置注册表项HKEY _当前_用户\软件\类\ clsid \可以指定由实例CAccPropServicesClass和MMDeviceEnumerator加载的dll。

IE浏览器进程iexplore.exe在启动时会调用上述两个实例。

所以在注册表中设置CAccPropServicesClass和MMDeviceEnumerator加载的dll可以劫持IE浏览器的启动，实现后门触发。

当然，这种方式只能算是被动后门，只能在用户启动IE浏览器时触发。

然而，在众多的COM对象中，并没有唯一的劫持对象可用，甚至有一种方法可以劫持桌面进程explorer.exe，相当于一个主动后门。

示例：劫持MruPidlList

注：

这种方法已被许多已知的恶意软件使用。

在研究了所有公开发表的COM对象后门利用方法的基础上，总结了COM劫持防御方法的原理，本文将介绍另外两种COM劫持后门利用方法。

前一篇文章：

《Use CLR to maintain persistence》

《Use COM Object hijacking to maintain persistence——Hijack CAccPropServicesClass and MMDeviceEnumerator》

0x01 简介

本文将介绍以下内容

通过劫持MruPidlList实现的后门思想

恶意利用示例

总结针对COM劫持的防御方法。

0x02 通过劫持MruPidlList实现的后门思路

注册表位置：HKCU \软件\类\CLSID\

创建项目{ 42 aedc 87-2188-41fd-B9 a3-0c 966 FEA bec 1 }

在进程服务器中创建子进程32

是测试dll的绝对路径：C:\test\calc.dll.

创建键值：ThreadingModel REG_SZ公寓

如下图

注册表位置对应于作用于shell32.dll的COM对象MruPidlList。

Shell32.dll是Windows的一个32位shell动态链接库文件，用于打开网页和文件、创建文件时设置默认文件名等多种功能。

直观的理解，explorer.exe会调用shell32.dll并加载COM对象MruPidlList。

系统启动时，默认情况下会启动explorer.exe流程。如果劫持了COM对象MruPidlList，就可以劫持进程explorer.exe，用系统引导启动后门，相当于主动后门。

当然，为了方便测试，没有必要重启系统，只需完成进程explorer.exe并创建一个新的进程explorer.exe即可。

新流程创建后，加载calc.dll，计算器会弹出，如下图所示。

测试64位系统，注册表位置保持不变，但需要切换到64位dll。重新启动时，后门将触发并启动calc.exe，如下图所示。

Win8系统也适用，如下图

0x03 恶意利用实例

1、COMRAT

怀疑与Uroburos和Agent同源。BTZ

Uroburos:迄今为止发现的最先进的rootkit恶意程序之一

特工。BTZ:2008年用于渗透五角大楼的恶意软件。

详细信息：

https://www . nsec . io/WP-content/uploads/2015/05/uroburos-actors-tools-1.1 . pdf

2、ZeroAccess rootkit

ZeroAccess rootkit:它已经感染了超过900万台计算机。

详细信息：

https://naked security . sophos . com/2012/06/06/zero access-rootkit-user mode/

https://www . sophos . com/en-us/threat-center/technical-papers/zero access-botnet . aspx

注：

ZeroAccess rootkit还使用了另一个被COM劫持的位置。

注册表位置：hkcu \ software \ classes \ clsid \ { FBE b8 a 05-beee-4442-804 e-409 d6c 4515 e 9 }

使用与上面相同的方法，explorer.exe也可以被劫持。

3、BBSRAT

详细信息：

https://research center . Palo alto networks . com/2015/12/BBS rat-攻击-瞄准-俄罗斯-组织-链接-漫游-老虎/

http://2014 . zero nights . org/assets/files/slides/roaming _ tiger _ zero nights _ 2014 . pdf

0x04 防御

由于COM对象是操作系统的正常功能，禁用COM对象是不现实的。

应特别注意以下键值所指向的dll路径：

HKCU \软件\类\ CLSID { 42 aedc 87-2188-41fd-B9 a3-0 c 966 FEA bec 1 }

HKCU \软件\类\ CLSID { fbeb8a 05-beee-4442-804 e-409 d6c 4515 e 9 }

HKCU \软件\类\ CLSID { b5f 8350 b-0548-48 B1-a6ee-88 BD 00 B4 a5e 7 }

HKCU \软件\类\ wow 6432 node \ CLSID { bcde 0395-E52F-467 c-8E3D-c 4579291692 e }

防御方法：

1.使用应用白名单规则，禁止加载第三方dll。

2.记录并调查写入和修改注册表HKCU \软件\类\CLSID\

有关COM对象劫持的更多信息，请参考：

https://attack.mitre.org/wiki/Technique/T1122

0x05 小结

本文介绍了两种利用COM劫持的后门方法，并结合前面文章的两种方法全面分析了COM劫持的防御方法。

特别值得注意的是，COM劫持后门可以绕过Autoruns对启动项的检测，实际防御中要注意这个细节。

留下回复