首页
社区
课程
招聘
Dridex使用的一种新型UAC绕过方法
发表于: 2015-12-7 10:32 1347

Dridex使用的一种新型UAC绕过方法

2015-12-7 10:32
1347
Dridex使用的一种新型UAC绕过方法

2015-05-27 12:04:02 来源:360安全播报 阅读:7456次 点赞(1) 收藏(1)

分享到:

http://p1.qhimg.com/t011ba0f8bbd003cf0b.png

Dridex使用的一种新型UAC绕过方法

今天介绍一种新型UAC绕过方法,这种方法曾于2014年12月被Dridex恶意软件使用过。

介绍

Dridex是一个银行木马,它是一个利用C&C服务器通过HTTP通信的机器人。

大多数的Dridex样本都被JPCERT/CC按照图1流程监测。A型样本来自一个Word文档(带有宏),下载并执行。Dridex由两个模块组成,初始模块下载主模块。

图1:Dridex感染流

http://p5.qhimg.com/t014f8b2a7124b34e1b.png

传统的UAC绕过方法

在我使用新型UAC绕过方法之前,我很高兴描述以下传统的绕过方法。PlugX是一个可以被用于UAC绕过方法的恶意软件,这是以前博客的主题。图2介绍了使用Plug绕过UAC的传统方法。

图2:传统的UAC绕过方法

http://p7.qhimg.com/t01caf8793998adb876.png

1、PlugX创建了一个DLL(UAC.TMP)

2、PlugX插入代码刀运行explorer.exe,然后explorer.exe移动UAC.TMP到C:\Windows\System32\sysprep\cryptbase.dll

3、C:\Windows\System32\sysprep\sysprep.exe被执行,sysprep.exe加载具有管理权限的C:\Windows\System32\sysprep\cryptbase.dll

4、C:\Windows\System32\sysprep\cryptbase.dll用管理员权限执行PlugX

在这种方法中,通过利用Windows 7的下列行为,把权限升级为管理员权限,而不现实UAC警告。

由Windows出版商数字签名程序,然后保存在一个安全的保护文件夹中,比如explorer.exe可以用管理员权限被执行,不显示UAC警告(在这种情况下,把DLL移动到C:\Windows\System32\sysprep\)。

sysprep.exe这样的程序被视为自动升级程序,程序可以升级权限刀管理员权限而在启动时没有UAC警告。

一些程序,如C:\Windows\System32\sysprep\sysprep.exe加载存储在同一个文件夹中DLL。

一个新的UAC绕过方法使用应用程序兼容性数据库。

一个新的被JPCERT/CC观察的UAC绕过方法被表现出使用应用程序兼容性数据库的特征。一个应用程序兼容性数据库是一个配置应用执行规则的文件。这些文件具有sdb延伸。Dridex利用这个特征绕过UAC,如图3。

图3:新型UAC绕过方法

http://p0.qhimg.com/t010ef0e77f5cc5410f.png

1、Dridex创建应用程序兼容性数据库($$$.seb),一个批处理文件($$$.bat)和一个备份文件(edg3FAC.exe)。

2、Dridex使用sdbinst命令安装/卸载应用程序兼容性数据库来安装$$$.sdb。

3、Dridex启动iscsicli,这是一个iscsi启动器的命令行工具。然而,在安装完成的应用程序兼容性数据库($$$.sdb)中,配置导致管理员权限iscsicliexe执行$$$.bat。

4、$$$.bat执行edg3FAC.exe有管理员权限。

这个方法利用Windows7中中的详细描述,与传统方法相比,这个方法使利用更加简单。即使Windows改变规格,这个方法可能还是可以利用的。

自动提升程序,比如sdbinst.exe和iscsicli.exe自动提升权限到管理员权限,当UAC警告没有被显示。

sdbinst命令可以改变其他程序的行为,它也是系统提权程序。

让我们看看被安装的$$$.sdb。通过使用HEX编辑器,你可以看到这个数据库有一个入口,当iscsicli.exe被启动时,$$$.bat通过iscsicli.exe被执行。

http://p3.qhimg.com/t01d21e1a3b3a166ee1.png

创建完成后,$$$.bat使用管理员权限被执行,如下。你可以看到他执行Dridex的副本,edg3FAC.exe。此外,$$$.bat卸载已经安装的应用程序兼容性数据库,并删除证据。
1
2
3
4
5
6
7
       
start C:\Users\user_name\AppData\Local\edg3FAC.exe C:\Users\user_name\Desktop\malware.exe
sdbinst.exe /q /u "C:\Users\user_name\AppData\LocalLow\$$$.sdb"
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\iscsicli.exe" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{f48a0c57-7c48-461c-9957-ab255ddc986e}" /f
del C:\Windows\AppPatch\Custom\{f48a0c57-7c48-461c-9957-ab255ddc986e}.sdb
del %LOCALAPPDATA%Low\$$$.sdb
del %LOCALAPPDATA%Low\$$$.bat

总结

这种新型UAC绕过方法在其他几个非Dridex恶意软件中也被观察到了。被UAC绕过获得的管理员权限不仅用来执行需要管理员权限的恶意软件,还用来被观察Windows防火墙设置的更改。

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://blog.jpcert.or.jp/.s/2015/05/a-new-uac-bypass-method-that-dridex-uses.html

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//