冷门快捷键恶意利用,后门还能这样玩

发布者:深信服千里目
发布于:2021-09-01 17:40

快捷键,几乎在每个人的日常办公生活中都会用到,通过某些特定的按键、按键顺序或按键组合来替代鼠标完成一些工作过程,能够提高操作效率。常用快捷键往往会与Ctrl 键、Shift 键、Alt 键、Fn 键、 Windows 键等配合使用,但Windows下其实还存在很多鲜为人知的冷门快捷键,这篇文章的主角,就是Windows下的粘滞键和“讲述人”快捷键。

黑客工具上传

故事的开头总是相似。

深信服终端安全专家巡查云端日志时,被一众特别的“administratOr”吸引了目光,并且该目录的desktop目录下,出现了不少“高危”文件,是用于实现内网横向扫描、RDP远程连接、DNS切换工具等内网渗透功能的工具:


通过定位到产生日志的终端排查,在隔离区发现如下的可疑文件:


其中包含部分常见工具:

文件名称

功能描述

d**jumper.exe

DNS切换工具/一键网卡切换

w**pcap-4.13.exe

网络抓包软件

svchost.exe(xD**ic IP Scanner)

IP扫描工具

server(N*Brute 1.2)

暴力破解工具

m**scan.exe

m**sscan_gui.exe

端口扫描工具

快捷键恶意利用

另外svc.exe、bd64.exe、hs.exe、4haste.exe是四个自解压文件,里面分别包含了如下内容:

svc.exe

解压后包含一个reg文件和一个压缩包REBE1l.exe,reg文件是将sethc.exe的执行设置中,debugger值设置为"C:\\Windows\\reg\\REBE1l.exe"。


sethc.exe文件是Windows下的粘滞键,在连续快速按5下shift键后,windows会自动执行system32下的sethc.exe进程,早期sethc.exe会被攻击者替换,例如,替换为cmd.exe,就可以直接执行cmd命令了。考虑到直接替换文件容易被发现,后来衍生出了通过修改执行设置,将debugger值指向设置的路径(镜像劫持),也可以做到在调用sethc.exe时启动其他进程,正如此次发现的攻击手法。

而REBE1l.exe压缩包里是一个名为cmd.exe的文件,但由于解压需要密码,无法进一步确认详情:

bd64.exe

该压缩包里包含了一个BC.exe压缩文件、一个reg文件、一个bat文件以及一个vbs文件:

 

Hide.vbs是用于调用Hide.bat批处理文件,而Hide.bat的功能则是设置相关文件的属性,将其隐藏: 


而reg文件的功能则与svc.exe中的reg类似,是将Narrator.exe执行设置中的debugger设置为"C:\\Windows\\Help\\BC.exe"。Narrator.exe是在执行“Windows 键 + Enter 键”组合键时会调用的程序,此设置更改会使得“Windows 键 + Enter 键”组合键直接调用BC.exe:

 

 

BC.exe压缩包中是一个名为Xxx64.exe的文件,同样是需要密码解压,无法进一步确认,但原始文件大小与svc.exe中的cmd.exe一样:

 

快捷键程序替换和镜像劫持其实是一个比较古老的技术了,没想到直至十多年后的今天仍然在被攻击者利用,不仅仅是sethc.exe和Narrator.exe,甚至包括osk.exe、Magnify.exe等程序,当某些程序被替换成cmd.exe时,攻击者在登录界面无需知道登录密码,即可直接使用快捷键或组合键调用cmd命令行,进行提权操作并执行cmd命令。

挖矿程序

4haste.exe/hs.exe

4haste.exe和hs.exe压缩包的内容实际是相同的:


svchost.exe实际上是NSSM(一个服务封装程序),cmd.bat的功能则是调用NSSM将systems.exe封装成一个服务以达到自启动的目的:

 

 

systems.exe是一个挖矿程序,读取config.json的配置文件进行挖矿,

矿池地址:xmr.viabtc.com:8888

用户:4haste

密码:x

 

解决方案

网络上有给出防止篡改和镜像劫持的一些通用方式:

1、对应用程序右键进行权限设置,删除所有用户组;

2、针对注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options右键进行权限设置,删除所有用户组;

3、设置禁用部分键盘快捷方式;

4、在“【组策略编辑器】——>【用户配置】——>【系统】——>右击【不要运行指定的Windows 应用程序】”中,设置禁用易遭到篡改和劫持的程序;

 

但此类方法需要繁琐的手动操作,比较适合个人用户;针对企业用户,深信服终端安全专家建议:

1、使用企业级的终端防护软件,对终端进行实时防护和定期查杀并开启自动处置;深信服EDR支持对各类黑客工具、挖矿木马等恶意程序进行检测拦截:

 

 

启用深信服EDR远程桌面登录认证功能,可有效防止远程桌面未登录时的快捷键后门利用:

 

2、如非必要,请勿映射业务服务和远程桌面服务到公网;

3、不熟流量监控设备,如深信服态势感知、深信服下一代防火墙,实时监控威胁流量,第一时间定位威胁;

4、及时升级业务软件最新版本,关注官方升级和补丁,避免低版本遭到漏洞利用。


声明:该文观点仅代表作者本人,转载请注明来自看雪