首页
社区
课程
招聘
[原创]流行远控驻留手段—可绕过最新版Autoruns检查的开机启动项
发表于: 2024-8-18 17:00 2828

[原创]流行远控驻留手段—可绕过最新版Autoruns检查的开机启动项

2024-8-18 17:00
2828

近期响应一起钓鱼远控事件时,发现一个奇怪的样本,该样本运行后,在autoruns中找不到任何相关的启动项,但是开机时就是会启动起来并注入dvdplay进程,注入的远控模块就是此前流行的winos远控。

alt text

分析开机事件

于是开启procmon工具的boot logging功能抓取系统开机时的事件。
alt text

重启系统后打开procmon保存boot logging,快捷键Ctrl+T查看进程树,可以看到是userinit进程创建的cmd进程执行了一个C:\ProgramData\susu\uninstall.bat脚本,这个bat脚本创建了一个SkyOption的进程,SkyOption进程在创建出傀儡进程dvdplay并注入后就退出了。

alt text

查看这个bat脚本,可以发现这个脚本是拼接两个jpg文件成SkyOption.exe后再执行,也就可以形成上面的进程树。

alt text

再次检查autoruns发现确实没有这个uninstall.bat脚本相关的启动项。

alt text

定位启动项位置

绝大多数启动项都能在注册表中找到键值对,而现在也能确定uninstall.bat大概率就是起始点(此前已清除过相关rootkit模块),于是在注册表搜索相关内容,发现在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\UserInitMprLogonScript找到了这个bat脚本的启动项。

alt text

UserInitMprLogonScript这个注册表键看名字是个启动脚本,搜索这个注册表键的相关信息,可以搜到权限维持的相关内容,但无一例外涉及的注册路径都是HKCR\Environment\UserInitMprLogonScript

而如果我们使用命令 reg add "HKEY_CURRENT_USER\Environment" /v UserInitMprLogonScript /t REG_SZ /d "C:\ProgramData\susu\uninstall.bat" 创建一个UserInitMprLogonScript同名键值对,发现Autoruns工具直接能显示出这个启动项。

alt text

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\UserInitMprLogonScript路径下的却未能检查出,应该是目前版本的Autoruns还不具备检测规则,这可能也是一个此前不为大众所知的启动项。

这两个启动项的UserInitMprLogonScript键值对有个共同点,都位于Environment路径下,是否存在其他类似的Environment路径也可以添加UserInitMprLogonScript键值对,由于时间原因暂没去验证。

样本

文中的截图都是本地运行样本复现出来的现象,实际被远控的终端还被植入了Rootkit等一些其他模块来免杀和驻留,下次再另写一篇文章来分析吧,这个样本是个释放器,应该是用actual installer打包的,样本密码:infected


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 4
支持
分享
最新回复 (3)
雪    币: 4914
活跃值: (4612)
能力值: ( LV10,RANK:171 )
在线值:
发帖
回帖
粉丝
2
感谢分享!!
2024-8-19 09:12
0
雪    币: 698
活跃值: (4559)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
2024-8-19 10:31
0
雪    币: 8
活跃值: (137)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
可能是rootkit隐藏注册表内容了
2024-8-24 20:33
0
游客
登录 | 注册 方可回帖
返回
//