转自360安全播报：http://bobao.360.cn/learning/detail/420.html

Dridex使用的一种新型UAC绕过方法

今天介绍一种新型UAC绕过方法，这种方法曾于2014年12月被Dridex恶意软件使用过。

介绍

Dridex是一个银行木马，它是一个利用C&C服务器通过HTTP通信的机器人。

大多数的Dridex样本都被JPCERT/CC按照图1流程监测。A型样本来自一个Word文档（带有宏），下载并执行。Dridex由两个模块组成，初始模块下载主模块。

图1：Dridex感染流

http://p5.qhimg.com/t014f8b2a7124b34e1b.png

传统的UAC绕过方法

在我使用新型UAC绕过方法之前，我很高兴描述以下传统的绕过方法。PlugX是一个可以被用于UAC绕过方法的恶意软件，这是以前博客的主题。图2介绍了使用Plug绕过UAC的传统方法。

图2：传统的UAC绕过方法

http://p7.qhimg.com/t01caf8793998adb876.png

1、PlugX创建了一个DLL(UAC.TMP)

2、PlugX插入代码刀运行explorer.exe，然后explorer.exe移动UAC.TMP到C:\Windows\System32\sysprep\cryptbase.dll

3、C:\Windows\System32\sysprep\sysprep.exe被执行，sysprep.exe加载具有管理权限的C:\Windows\System32\sysprep\cryptbase.dll

4、C:\Windows\System32\sysprep\cryptbase.dll用管理员权限执行PlugX

在这种方法中，通过利用Windows 7的下列行为，把权限升级为管理员权限，而不现实UAC警告。

由Windows出版商数字签名程序，然后保存在一个安全的保护文件夹中，比如explorer.exe可以用管理员权限被执行，不显示UAC警告（在这种情况下，把DLL移动到C:\Windows\System32\sysprep\）。

sysprep.exe这样的程序被视为自动升级程序，程序可以升级权限刀管理员权限而在启动时没有UAC警告。

一些程序，如C:\Windows\System32\sysprep\sysprep.exe加载存储在同一个文件夹中DLL。

一个新的UAC绕过方法使用应用程序兼容性数据库。

一个新的被JPCERT/CC观察的UAC绕过方法被表现出使用应用程序兼容性数据库的特征。一个应用程序兼容性数据库是一个配置应用执行规则的文件。这些文件具有sdb延伸。Dridex利用这个特征绕过UAC，如图3。

图3：新型UAC绕过方法

http://p0.qhimg.com/t010ef0e77f5cc5410f.png

1、Dridex创建应用程序兼容性数据库（$$$.seb），一个批处理文件（$$$.bat）和一个备份文件（edg3FAC.exe）。

2、Dridex使用sdbinst命令安装/卸载应用程序兼容性数据库来安装$$$.sdb。

3、Dridex启动iscsicli，这是一个iscsi启动器的命令行工具。然而，在安装完成的应用程序兼容性数据库($$$.sdb)中，配置导致管理员权限iscsicliexe执行$$$.bat。

4、$$$.bat执行edg3FAC.exe有管理员权限。

这个方法利用Windows7中中的详细描述，与传统方法相比，这个方法使利用更加简单。即使Windows改变规格，这个方法可能还是可以利用的。

自动提升程序，比如sdbinst.exe和iscsicli.exe自动提升权限到管理员权限，当UAC警告没有被显示。

sdbinst命令可以改变其他程序的行为，它也是系统提权程序。

让我们看看被安装的$$$.sdb。通过使用HEX编辑器，你可以看到这个数据库有一个入口，当iscsicli.exe被启动时，$$$.bat通过iscsicli.exe被执行。

http://p3.qhimg.com/t01d21e1a3b3a166ee1.png

创建完成后，$$$.bat使用管理员权限被执行，如下。你可以看到他执行Dridex的副本，edg3FAC.exe。此外，$$$.bat卸载已经安装的应用程序兼容性数据库，并删除证据。
1
2
3
4
5
6
7
       
start C:\Users\user_name\AppData\Local\edg3FAC.exe C:\Users\user_name\Desktop\malware.exe
sdbinst.exe /q /u "C:\Users\user_name\AppData\LocalLow\$$$.sdb"
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\iscsicli.exe" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{f48a0c57-7c48-461c-9957-ab255ddc986e}" /f
del C:\Windows\AppPatch\Custom\{f48a0c57-7c48-461c-9957-ab255ddc986e}.sdb
del %LOCALAPPDATA%Low\$$$.sdb
del %LOCALAPPDATA%Low\$$$.bat

总结

这种新型UAC绕过方法在其他几个非Dridex恶意软件中也被观察到了。被UAC绕过获得的管理员权限不仅用来执行需要管理员权限的恶意软件，还用来被观察Windows防火墙设置的更改。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课