-
-
Dridex使用的一种新型UAC绕过方法
-
发表于: 2015-12-7 10:32 1383
-
Dridex使用的一种新型UAC绕过方法
2015-05-27 12:04:02 来源:360安全播报 阅读:7456次 点赞(1) 收藏(1)
分享到:
http://p1.qhimg.com/t011ba0f8bbd003cf0b.png
Dridex使用的一种新型UAC绕过方法
今天介绍一种新型UAC绕过方法,这种方法曾于2014年12月被Dridex恶意软件使用过。
介绍
Dridex是一个银行木马,它是一个利用C&C服务器通过HTTP通信的机器人。
大多数的Dridex样本都被JPCERT/CC按照图1流程监测。A型样本来自一个Word文档(带有宏),下载并执行。Dridex由两个模块组成,初始模块下载主模块。
图1:Dridex感染流
http://p5.qhimg.com/t014f8b2a7124b34e1b.png
传统的UAC绕过方法
在我使用新型UAC绕过方法之前,我很高兴描述以下传统的绕过方法。PlugX是一个可以被用于UAC绕过方法的恶意软件,这是以前博客的主题。图2介绍了使用Plug绕过UAC的传统方法。
图2:传统的UAC绕过方法
http://p7.qhimg.com/t01caf8793998adb876.png
1、PlugX创建了一个DLL(UAC.TMP)
2、PlugX插入代码刀运行explorer.exe,然后explorer.exe移动UAC.TMP到C:\Windows\System32\sysprep\cryptbase.dll
3、C:\Windows\System32\sysprep\sysprep.exe被执行,sysprep.exe加载具有管理权限的C:\Windows\System32\sysprep\cryptbase.dll
4、C:\Windows\System32\sysprep\cryptbase.dll用管理员权限执行PlugX
在这种方法中,通过利用Windows 7的下列行为,把权限升级为管理员权限,而不现实UAC警告。
由Windows出版商数字签名程序,然后保存在一个安全的保护文件夹中,比如explorer.exe可以用管理员权限被执行,不显示UAC警告(在这种情况下,把DLL移动到C:\Windows\System32\sysprep\)。
sysprep.exe这样的程序被视为自动升级程序,程序可以升级权限刀管理员权限而在启动时没有UAC警告。
一些程序,如C:\Windows\System32\sysprep\sysprep.exe加载存储在同一个文件夹中DLL。
一个新的UAC绕过方法使用应用程序兼容性数据库。
一个新的被JPCERT/CC观察的UAC绕过方法被表现出使用应用程序兼容性数据库的特征。一个应用程序兼容性数据库是一个配置应用执行规则的文件。这些文件具有sdb延伸。Dridex利用这个特征绕过UAC,如图3。
图3:新型UAC绕过方法
http://p0.qhimg.com/t010ef0e77f5cc5410f.png
1、Dridex创建应用程序兼容性数据库($$$.seb),一个批处理文件($$$.bat)和一个备份文件(edg3FAC.exe)。
2、Dridex使用sdbinst命令安装/卸载应用程序兼容性数据库来安装$$$.sdb。
3、Dridex启动iscsicli,这是一个iscsi启动器的命令行工具。然而,在安装完成的应用程序兼容性数据库($$$.sdb)中,配置导致管理员权限iscsicliexe执行$$$.bat。
4、$$$.bat执行edg3FAC.exe有管理员权限。
这个方法利用Windows7中中的详细描述,与传统方法相比,这个方法使利用更加简单。即使Windows改变规格,这个方法可能还是可以利用的。
自动提升程序,比如sdbinst.exe和iscsicli.exe自动提升权限到管理员权限,当UAC警告没有被显示。
sdbinst命令可以改变其他程序的行为,它也是系统提权程序。
让我们看看被安装的$$$.sdb。通过使用HEX编辑器,你可以看到这个数据库有一个入口,当iscsicli.exe被启动时,$$$.bat通过iscsicli.exe被执行。
http://p3.qhimg.com/t01d21e1a3b3a166ee1.png
创建完成后,$$$.bat使用管理员权限被执行,如下。你可以看到他执行Dridex的副本,edg3FAC.exe。此外,$$$.bat卸载已经安装的应用程序兼容性数据库,并删除证据。
1
2
3
4
5
6
7
start C:\Users\user_name\AppData\Local\edg3FAC.exe C:\Users\user_name\Desktop\malware.exe
sdbinst.exe /q /u "C:\Users\user_name\AppData\LocalLow\$$$.sdb"
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\iscsicli.exe" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{f48a0c57-7c48-461c-9957-ab255ddc986e}" /f
del C:\Windows\AppPatch\Custom\{f48a0c57-7c48-461c-9957-ab255ddc986e}.sdb
del %LOCALAPPDATA%Low\$$$.sdb
del %LOCALAPPDATA%Low\$$$.bat
总结
这种新型UAC绕过方法在其他几个非Dridex恶意软件中也被观察到了。被UAC绕过获得的管理员权限不仅用来执行需要管理员权限的恶意软件,还用来被观察Windows防火墙设置的更改。
本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://blog.jpcert.or.jp/.s/2015/05/a-new-uac-bypass-method-that-dridex-uses.html
2015-05-27 12:04:02 来源:360安全播报 阅读:7456次 点赞(1) 收藏(1)
分享到:
http://p1.qhimg.com/t011ba0f8bbd003cf0b.png
Dridex使用的一种新型UAC绕过方法
今天介绍一种新型UAC绕过方法,这种方法曾于2014年12月被Dridex恶意软件使用过。
介绍
Dridex是一个银行木马,它是一个利用C&C服务器通过HTTP通信的机器人。
大多数的Dridex样本都被JPCERT/CC按照图1流程监测。A型样本来自一个Word文档(带有宏),下载并执行。Dridex由两个模块组成,初始模块下载主模块。
图1:Dridex感染流
http://p5.qhimg.com/t014f8b2a7124b34e1b.png
传统的UAC绕过方法
在我使用新型UAC绕过方法之前,我很高兴描述以下传统的绕过方法。PlugX是一个可以被用于UAC绕过方法的恶意软件,这是以前博客的主题。图2介绍了使用Plug绕过UAC的传统方法。
图2:传统的UAC绕过方法
http://p7.qhimg.com/t01caf8793998adb876.png
1、PlugX创建了一个DLL(UAC.TMP)
2、PlugX插入代码刀运行explorer.exe,然后explorer.exe移动UAC.TMP到C:\Windows\System32\sysprep\cryptbase.dll
3、C:\Windows\System32\sysprep\sysprep.exe被执行,sysprep.exe加载具有管理权限的C:\Windows\System32\sysprep\cryptbase.dll
4、C:\Windows\System32\sysprep\cryptbase.dll用管理员权限执行PlugX
在这种方法中,通过利用Windows 7的下列行为,把权限升级为管理员权限,而不现实UAC警告。
由Windows出版商数字签名程序,然后保存在一个安全的保护文件夹中,比如explorer.exe可以用管理员权限被执行,不显示UAC警告(在这种情况下,把DLL移动到C:\Windows\System32\sysprep\)。
sysprep.exe这样的程序被视为自动升级程序,程序可以升级权限刀管理员权限而在启动时没有UAC警告。
一些程序,如C:\Windows\System32\sysprep\sysprep.exe加载存储在同一个文件夹中DLL。
一个新的UAC绕过方法使用应用程序兼容性数据库。
一个新的被JPCERT/CC观察的UAC绕过方法被表现出使用应用程序兼容性数据库的特征。一个应用程序兼容性数据库是一个配置应用执行规则的文件。这些文件具有sdb延伸。Dridex利用这个特征绕过UAC,如图3。
图3:新型UAC绕过方法
http://p0.qhimg.com/t010ef0e77f5cc5410f.png
1、Dridex创建应用程序兼容性数据库($$$.seb),一个批处理文件($$$.bat)和一个备份文件(edg3FAC.exe)。
2、Dridex使用sdbinst命令安装/卸载应用程序兼容性数据库来安装$$$.sdb。
3、Dridex启动iscsicli,这是一个iscsi启动器的命令行工具。然而,在安装完成的应用程序兼容性数据库($$$.sdb)中,配置导致管理员权限iscsicliexe执行$$$.bat。
4、$$$.bat执行edg3FAC.exe有管理员权限。
这个方法利用Windows7中中的详细描述,与传统方法相比,这个方法使利用更加简单。即使Windows改变规格,这个方法可能还是可以利用的。
自动提升程序,比如sdbinst.exe和iscsicli.exe自动提升权限到管理员权限,当UAC警告没有被显示。
sdbinst命令可以改变其他程序的行为,它也是系统提权程序。
让我们看看被安装的$$$.sdb。通过使用HEX编辑器,你可以看到这个数据库有一个入口,当iscsicli.exe被启动时,$$$.bat通过iscsicli.exe被执行。
http://p3.qhimg.com/t01d21e1a3b3a166ee1.png
创建完成后,$$$.bat使用管理员权限被执行,如下。你可以看到他执行Dridex的副本,edg3FAC.exe。此外,$$$.bat卸载已经安装的应用程序兼容性数据库,并删除证据。
1
2
3
4
5
6
7
start C:\Users\user_name\AppData\Local\edg3FAC.exe C:\Users\user_name\Desktop\malware.exe
sdbinst.exe /q /u "C:\Users\user_name\AppData\LocalLow\$$$.sdb"
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\iscsicli.exe" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{f48a0c57-7c48-461c-9957-ab255ddc986e}" /f
del C:\Windows\AppPatch\Custom\{f48a0c57-7c48-461c-9957-ab255ddc986e}.sdb
del %LOCALAPPDATA%Low\$$$.sdb
del %LOCALAPPDATA%Low\$$$.bat
总结
这种新型UAC绕过方法在其他几个非Dridex恶意软件中也被观察到了。被UAC绕过获得的管理员权限不仅用来执行需要管理员权限的恶意软件,还用来被观察Windows防火墙设置的更改。
本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://blog.jpcert.or.jp/.s/2015/05/a-new-uac-bypass-method-that-dridex-uses.html
赞赏
看原图
赞赏
雪币:
留言: