如何使用刻录软件进行持久化攻击

iso60001  2187天前

22.png

当我研究新的后渗透阶段的后门持久化技术时,我通常会把重点放在系统自带的功能上。因为只有这样,研究出来的持久化技术才能不依赖于软件,能广泛应用于Windows的大多数版本。

我偶尔会看看其他方向的持久化技术,例如涉及到某些流行应用,Office、Total Commander(文件管理器)、文档整理程序、电子邮件或torrent客户端等。因为这类软件普及度很高,以至于它们自己也能算做操作系统一个部分,一旦出现漏洞,就可能被广泛应用于后门持久化。

这篇文章的主角是一个非常不寻常的软件——刻录软件。15年前每个人都在使用它。而到了今天,它算是对过去美好时光的纪念。自2009-2010年以来,我再也没刻录过一张CD/DVD。我真的想不起来过去8年内我做过任何类似的操作。云存储、USB 3.0以及移动硬盘使CD/DVD这种存储媒介早已被时代抛弃。

但是,根据我在推特上的调查,仍有很多人在使用它。

Nero过去是,现在也仍然是最好用光盘刻录软件。虽然我不会详细介绍它的特性,但我想说明它在光盘刻录行业中的地位——在某些阶段,它是许多“刻录机”使用的主程序。

它是如此的流行,即使在今天,这也是我盯上它的原因。

How?

最简单的方法是在下列路径中放置一个假冒插件:

c:\Program Files\Common Files\Ahead\AudioPlugins

该插件必须是一个文件名前缀时“nx”的DLL文件,并能导出以下两个函数:

NERO_PLUGIN_GetPrimaryAudioob ject

NERO_PLUGIN_ReadyToFinish

这样的插件会在用户准备刻录音频CD时加载。为了方便测试,最简单的触发方式就是转到Tools一栏,并查看插件选项。所有的DLL,只要命名正确,都至少会加载和执行它们的Dll主函数。

33.png

还有以下路径可以被利用:

HKLM\SOFTWARE\Ahead\Shared\AudioEffects\DXPlugins

HKLM\SOFTWARE\Ahead\Nero PhotoSnap Shared\PluginManager\Plugins

HKLM\SOFTWARE\Ahead\Nero Mobile\Installer\Signed=<exe>

HKLM\SOFTWARE\Ahead\Nero Mobile\Installer\Unsigned=<exe>

HKLM\SOFTWARE\Ahead\Nero BurnRights\PathToBurnRights =<exe>

HKLM\SOFTWARE\Ahead\InCD\UI\LaunchOnBlankDisc=<exe>

HKLM\SOFTWARE\Ahead\Shared\<various registry names can be replaced>

以上一些可执行程序路径可以替换成其他路径(中间人攻击)。有些可以在Nero的不同套装软件下添加新的插件。

Nero只是可被用于持久化的一个例子而已。我认为,大多数流行的应用程序,只要是从很早以前存活至今的,只要它们提供一些定制功能以及支持插件,都可以使用类似的方式来利用。

原文链接:http://www.hexacorn.com/blog/2018/12/26/beyond-good-ol-run-key-part-97/

最新评论

昵称
邮箱
提交评论