冷門快捷鍵惡意利用,後門還能這樣玩
快捷鍵,幾乎在每個人的日常辦公生活中都會用到,透過某些特定的按鍵、按鍵順序或按鍵組合來替代滑鼠完成一些工作過程,能夠提高操作效率。常用快捷鍵往往會與Ctrl 鍵、Shift 鍵、Alt 鍵、Fn 鍵、 Windows 鍵等配合使用,但Windows下其實還存在很多鮮為人知的冷門快捷鍵,這篇文章的主角,就是Windows下的粘滯鍵和“講述人”快捷鍵。
駭客工具上傳
故事的開頭總是相似。
深信服終端安全專家巡查雲端日誌時,被一眾特別的“administratOr”吸引了目光,並且該目錄的desktop目錄下,出現了不少“高危”檔案,是用於實現內網橫向掃描、RDP遠端連線、DNS切換工具等內網滲透功能的工具:
透過定位到產生日誌的終端排查,在隔離區發現如下的可疑檔案:
其中包含部分常見工具:
檔名稱 | 功能描述 |
d**jumper.exe | DNS切換工具/一鍵網路卡切換 |
w**pcap-4.13.exe | 網路抓包軟體 |
svchost.exe(xD**ic IP Scanner) | IP掃描工具 |
server(N*Brute 1.2) | 暴力破解工具 |
m**scan.exe m**sscan_gui.exe | 埠掃描工具 |
快捷鍵惡意利用
另外svc.exe、bd64.exe、hs.exe、4haste.exe是四個自解壓檔案,裡面分別包含了如下內容:
svc.exe
解壓後包含一個reg檔案和一個壓縮包REBE1l.exe,reg檔案是將sethc.exe的執行設定中,debugger值設定為"C:\\Windows\\reg\\REBE1l.exe"。
sethc.exe檔案是Windows下的粘滯鍵,在連續快速按5下shift鍵後,windows會自動執行system32下的sethc.exe程式,早期sethc.exe會被攻擊者替換,例如,替換為cmd.exe,就可以直接執行cmd命令了。考慮到直接替換檔案容易被發現,後來衍生出了透過修改執行設定,將debugger值指向設定的路徑(映象劫持),也可以做到在呼叫sethc.exe時啟動其他程式,正如此次發現的攻擊手法。
而REBE1l.exe壓縮包裡是一個名為cmd.exe的檔案,但由於解壓需要密碼,無法進一步確認詳情:
bd64.exe
該壓縮包裡包含了一個BC.exe壓縮檔案、一個reg檔案、一個bat檔案以及一個vbs檔案:
Hide.vbs是用於呼叫Hide.bat批處理檔案,而Hide.bat的功能則是設定相關檔案的屬性,將其隱藏:
而reg檔案的功能則與svc.exe中的reg類似,是將Narrator.exe執行設定中的debugger設定為"C:\\Windows\\Help\\BC.exe"。Narrator.exe是在執行“Windows 鍵 + Enter 鍵”組合鍵時會呼叫的程式,此設定更改會使得“Windows 鍵 + Enter 鍵”組合鍵直接呼叫BC.exe:
BC.exe壓縮包中是一個名為Xxx64.exe的檔案,同樣是需要密碼解壓,無法進一步確認,但原始檔案大小與svc.exe中的cmd.exe一樣:
快捷鍵程式替換和映象劫持其實是一個比較古老的技術了,沒想到直至十多年後的今天仍然在被攻擊者利用,不僅僅是sethc.exe和Narrator.exe,甚至包括osk.exe、Magnify.exe等程式,當某些程式被替換成cmd.exe時,攻擊者在登入介面無需知道登入密碼,即可直接使用快捷鍵或組合鍵呼叫cmd命令列,進行提權操作並執行cmd命令。
挖礦程式
4haste.exe/hs.exe
4haste.exe和hs.exe壓縮包的內容實際是相同的:
svchost.exe實際上是NSSM(一個服務封裝程式),cmd.bat的功能則是呼叫NSSM將systems.exe封裝成一個服務以達到自啟動的目的:
systems.exe是一個挖礦程式,讀取config.json的配置檔案進行挖礦,
礦池地址:xmr.viabtc.com:8888
使用者:4haste
密碼:x
解決方案
網路上有給出防止篡改和映象劫持的一些通用方式:
1、對應用程式右鍵進行許可權設定,刪除所有使用者組;
2、針對登錄檔項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options右鍵進行許可權設定,刪除所有使用者組;
3、設定禁用部分鍵盤快捷方式;
4、在“【組策略編輯器】——>【使用者配置】——>【系統】——>右擊【不要執行指定的Windows 應用程式】”中,設定禁用易遭到篡改和劫持的程式;
但此類方法需要繁瑣的手動操作,比較適合個人使用者;針對企業使用者,深信服終端安全專家建議:
1、使用企業級的終端防護軟體,對終端進行實時防護和定期查殺並開啟自動處置;深信服EDR支援對各類駭客工具、挖礦木馬等惡意程式進行檢測攔截:
啟用深信服EDR遠端桌面登入認證功能,可有效防止遠端桌面未登入時的快捷鍵後門利用:
2、如非必要,請勿對映業務服務和遠端桌面服務到公網;
3、不熟流量監控裝置,如深信服態勢感知、深信服下一代防火牆,實時監控威脅流量,第一時間定位威脅;
4、及時升級業務軟體最新版本,關注官方升級和補丁,避免低版本遭到漏洞利用。
相關文章
- postMessage 還能這樣玩
- JavaScript 事件迴圈竟還能這樣玩!JavaScript事件
- Java 11 已釋出,String 還能這樣玩!Java
- 惡意軟體Siloscape可在Kubernetes叢集中植入後門
- 人工智慧下的音訊還能這樣玩!!!!人工智慧音訊
- Java11已釋出,String還能這樣玩!Java
- iOS 通知還能這麼玩?iOS
- Android沉浸式狀態列還能這樣玩—教你玩出新花樣Android
- CSS 還能這樣玩?奇思妙想漸變的藝術CSS
- 郵件告警還能這麼玩?!
- Java“微服務”還能這麼玩!Java微服務
- Adobe Bridge入門教程:BR鍵盤快捷鍵大全
- 粘滯鍵後門
- 我真是服了!AS Debug還能這麼玩?
- 十年後,惡意軟體作者仍在濫用“天堂之門”技術
- 警惕!利用LNK快捷方式偽裝nCov-19疫情的惡意攻擊
- 驚! 大屏還能長這樣!
- Windows粘滯鍵後門Windows
- 還能這樣玩?Go 將會增強 Go1 向前相容性Go
- 微信和Python之間,還能這樣玩的嘛,漲見識了!Python
- Webstorm常用快捷鍵備忘(Webstorm入門指南)WebORM
- Linux運維入門要了解哪些快捷鍵?Linux運維
- Sublime Text入門級教程:快捷鍵大合集~
- 雙十二來了,你的表格可以這樣玩!這個工具還能提升Excel的效能Excel
- 後門惡意軟體通殺 Win、macOS、Linux 三大系統;Linux 惡意程式數量增長 35% | 思否週刊MacLinux
- 冷門股是什麼意思?冷門股走熱的條件
- 值得收藏的MacBook快捷鍵 教你如何快速入門Mac
- 利用惡意頁面攻擊本地 Xdebug
- 小白這樣玩遊戲,離入門遊戲運營不遠了遊戲
- 換個角度,智慧硬體也能這樣玩
- 惡意爬蟲?能讓惡意爬蟲遁於無形的小Tips爬蟲
- 微信和Python之間,還能這樣玩,你所不知道的騷操作!Python
- 作畫、寫詩、彈曲子,AI還能這麼玩?AI
- SSH軟連結後門利用和原理
- Linux萬能快捷鍵與命令Linux
- 記學習滲透測試之使用後門和惡意軟體保持訪問權一
- 記學習滲透測試之使用後門和惡意軟體保持訪問權五
- 記學習滲透測試之使用後門和惡意軟體保持訪問權三