TRICKBOT使用新的win 10 UAC绕过 | Sunbet
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

TRICKBOT使用新的win 10 UAC绕过

Sunbet_行业观察 申博 19次浏览 已收录

Trickbot木马是当前使用的最先进的恶意软件传播攻击。攻击者利用Trickbot木马可以用不同的方法来传播不同种类的恶意代码。近期,研究人员分析发现TRICKBOT木马使用了一种新的Windows 10 UAC绕过技术

研究人员分析发现,Trickbot总是在不断寻找新的方法来将木马传播到用户的机器。这也是为什么Trickbot是最先进的恶意软件传播工具,而且其传播的方法也在不断更新和迭代。

Morphisec Labs研究人员发现最新的TRICKBOT木马使用一种权限的Windows 10 WSReset UAC绕过方法来绕过用户账户控制,并传播payload到用户机器。

TRICKBOT木马和WINDOWS 10

Trickbot 的WSReset UAC 绕过进程首先检查系统是否运行在Windows 7或Windows 10系统上。如果运行在Windows 7系统上,就使用CMSTPLUA UAC绕过,只有当运行在Windows 10系统上时,Trickbot才使用WSReset UAC绕过。

TRICKBOT使用新的win 10 UAC绕过

图  1 操作系统版本检查

TRICKBOT使用新的win 10 UAC绕过

图  2 如果运行在Windows 10系统,就使用WSReset UAC绕过

WSReset UAC绕过是2019年3月发现的,允许Trickbot开发者利用WSReset.exe进程。根据mainfest文件,WSReset.exe进程是微软的一个签名的可执行文件,用来重置Windows存储设置。最重要的是其‘autoElevate’ 特征被设置为 “true”。这也是为什么WSReset UAC绕过可以被用于权限提升的原因。

TRICKBOT使用新的win 10 UAC绕过

移动安全研究:在IPA中重签名iOS应用程序

当研究人员被要求对iOS应用程序执行黑盒安全分析时,根据范围的不同,他们可能只能从AppStore访问iOS应用程序。但大多数时候,客户会给研究人员一个IPA(Apple程序应用文件iPhoneApplication的缩写)。在黑箱分析中,研究人员无法访问源代码,因此通过Xcode将其部署到用于测试的设备上是不可能的。一种可能的解决方案是使用研究人员拥有的配置文件重新设计应用程序,并将其部署到研究人员的测试设备上。在这篇文章中,我将解释如何重新签署一个iOS应用程序,以便研究人员生成可部署到测试设备的IPA。 代码签名 作为一项安全措施,Apple要求其信任的开发人员对在其设备上运行的所有代码进行数字签名,签名的工作方式类似于SSL证书在网站上的工作方式。 SSL证书和CA 要在你的网站上使用HTTPS,你需要有数

图  3 WSReset manifest.

Trickbot 会解密其字符串来使用WSReset UAC绕过,比如注册表路径和要执行的命令。

TRICKBOT使用新的win 10 UAC绕过

图  4 Trickbot命令准备

然后,Trickbot会使用 “reg.exe” 来添加相关的key,这些key可以用来使用WSReset UAC绕过。

TRICKBOT使用新的win 10 UAC绕过图  5 使用reg.exe来添加相关key

TRICKBOT使用新的win 10 UAC绕过

图  6 WSReset执行前的注册表

绕过的最后一步是执行WSReset.exe,Trickbot可以用它在没有UAC弹窗的情况下以提权权限运行。Trickbot使用的是‘ShellExecuteExW’ API。最终的可执行文件允许Trickbot将payload传播到工作站和其他终端上。 TRICKBOT使用新的win 10 UAC绕过

图  7 WSReset.exe执行

本文翻译自:https://blog.morphisec.com/trickbot-uses-a-new-windows-10-uac-bypass


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明TRICKBOT使用新的win 10 UAC绕过
喜欢 (0)
[]
分享 (0)