【Day 13】粗暴後门，Duck 不必 - Windows 简单後门

环境

• Windows 10 1709

简介

後门

当入侵者成功取得某台机器的权限後，可能会希望之後仍然能够持许拥有这个权限。放个後门，下次要进来操作这台机器时就比较容易。

简单後门

这篇要介绍的後门不需要写任何程序，也不会有艰深的观念，应该算是一些 Windows 简单的奇技淫巧。希望让刚入门的朋友们能有些可以做点坏事的感觉，顺便为下一篇比较难的後门做铺陈。

Shift 五下

Windows 10 的锁定画面如下图，右下角可以看到一些 Windows 内建功能，原本的功能是用来辅助使用者的。假设入侵者目前可以用远端桌面访问受害主机，那就能够透过窜改掉那些内建功能达到後门的效果。

简介

Windows 内建功能，按五下 shift 会出现 Enable Sticker Key 的视窗，用来启用 Sticker Key 功能。以下的操作原理就是让原本使用的 sethc.exe 改成使用 cmd.exe。

实作 1 - 改 registry

• 注意事项
  • 改之前可以先备份一下目前的 Registry，以免改完後忘记怎麽改回来
• 步骤
  1. 开启 Registry Editor，可以在 Windows 搜寻处搜寻 Regedit
  2. 进入到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
     
  3. 按右键新增一个机码，并取名为 sethc.exe
     
  4. 最後在 sethc.exe 按右键新增一个字串值，名称为 Debugger，资料为 C:\Windows\System32\cmd.exe
     
  5. 现在连按 5 下 shift 看有没有一个 cmd 跑出来，有就成功了。可以把萤幕锁定後再试一次体验一下後门的感觉。在 cmd 中输入 whoami 还会发现是 System 权限哦！

实作 2 - 改 sethc.exe

• 注意事项
  • 这个实作强烈建议在虚拟机上做，以免本机环境脏掉。
  • 需要先修改 C:\Windows\System32 的资料夹权限，改成完全控制 (Full Control)。
• 步骤
  1. 打开资料夹 C:\Windows\System32
  2. 找到 sethc.exe，把它重新命名为 sethc.exe.bak
  3. 找到 cmd.exe，复制贴上在同个目录，并重新命名为 sethc.exe
  4. 现在连按 5 下 Shift 就应该会有个 cmd 跑出来

其他

除了 Shift 五下之外，同样的招法也可以使用在锁定画面右下角的其他功能中。

• 朗读程序 - Narrator.exe
• 放大镜 - Magnify.exe
• 萤幕小键盘 - osk.exe
• 高对比 - 跟 Shift 五下一样是 Sethc.exe
• 按下下图这个 Icon 本身也是一个执行档 - Utilman.exe
  

侦测

一般的防毒软件很容易就能发现这类简单的後门，毕竟一般不会有使用者去换掉 C:\Windows\System32 中的档案，也不会在这种内建工具的 Regsitry 放 Debugger。

Run、Runonce

简介

有时一些服务会希望在使用者登入时执行一些指令，因此会用到 Run、Runonce。然而这同时也可以被恶意利用，在使用者登入时执行恶意指令，例如恶意程序在每次使用者登入时检查程序是否已被执行。Run、Runonce 至今仍是许多 Malware 会使用的技巧。

实作

• 注意事项
  • 改之前可以先备份一下目前的 Registry，以免改完後忘记怎麽改回来
• 步骤
  1. 开启 Registry Editor
  2. 进入其中一个
     • \HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
     • \HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
     • \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     • \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
     • \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run
     • \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
  3. 按右键新增字串值
  4. 名称随意，资料为想要在使用者登入时执行的档案路径
     
  5. 重新登录看目标档案是否执行

其他

除了 Run、Runonce 之外，其实还有很多 Registry 可以做到同样功能。例如 Logon、Startup、RunOnceEx 等等。

侦测

• 之後介绍的 Sysinternals，可以使用其中的 autorun.exe 查看
• 之後介绍的 ETW，可以异步接收到目标 registry 的修改状况
• 可以单纯写程序抓 Run、Runonce 执行的档案，再判断它是否为恶意的

参考资料

• 大神秘籍：windows中常见後门持久化方法总结
• Windows常见的持久化后门汇总