Вопрос Обход UAC (Bypass UAC)


Hunchback

Пользователь
Форумчанин
Регистрация
23.10.2016
Сообщения
13
Репутация
1
Едва ли он чем то поможет, хорошо пропатченая семерка не дает ни каких привелегий, ну да инжектнулся а что дальше ? процесс либо работает с правами пользователя и не может писать в AppInitDll или в противном случае не хватает прав если этот процесс работает с правами SYSTEM - Инжектится туда не получается. Это невозможно по соображениям безопасности. На этом участке памяти стоит маркер GUID
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 125
Репутация
8 243
Ну я-же писал, что обход уак не простая задача !NO-no!!!

Поэтому ИМХО тут два пути:

1. Правильный - Это обучить своих зверьков жить в уаке, т.е. с ограниченными правами. Что и сделано в современной малвари (Кейлогерах, ботнетах и т.д.).

2. Сделать манифест и надеется, что жертва нажмет "Да" !Dmeh-Smeh-Smeh!!!

Стоит отметить, что если у жертвы установлен например тот-же каспер, то там свой аналог уака, в лучшем случае просто отрубит какие-то функции трояна, например пересылка логов, а в худшем просто добавят в базы автоматом...Отдыхай!!!

Поэтому если будете жить под уаком, скорей-всего и ав нестрашен будет !like it
 

Hunchback

Пользователь
Форумчанин
Регистрация
23.10.2016
Сообщения
13
Репутация
1
На Widows блоки памяти процесса маркируются GUID ни чего не даст инжекция, жетрва ДА не нажмет. Ну допустим я работаю от процесса explorer.exe, это ни чего не даст, так же как и svchost.exe они не могут писать в реестр, по крайней мере в AppinitDLL, если бы все было так просто. Да нахрен бы ни чего не надо было, только автозагрузке нужны права, прицеливался на Akagi но он сученок не работает в ExecFromMemory, да и так орет админский токен подавай.

Я понимаю парни что все это бутофория, однако.... И очень хотел выразить большую благодарность людям типа X-Shar что хватает терпения возиться.
 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 125
Репутация
8 243
Hunchback, а что хотите сделать-то ? Немного непонятно зачем работать от експлорера ? Вернее скажу так, если цель домохозяйка, то там и маскировка не нужна, можете замаскировать процесс например так " exp1orer" и никто ничего не заметит, ну будет он в пользовательской автозагрузки и что ?

Примерно так многие малварьщики и делают, куча таких вирусов видел и неплохо живут они, т.к. грамотность пользователей оставляет желать лучшего...

Есть еще такой метод, как заебать пользователя, вот пример:

Перед тем как повысить привилегии, начинаете долбить например с интервалом 5-10 секунд запрос на повышение до админа, у пользователя начнут появляться эти запросы через каждые 5-10 секунд и есть вероятность что он нажмет ок, ибо задалбает...Dmeh-Smeh-Smeh!!!
 

Hunchback

Пользователь
Форумчанин
Регистрация
23.10.2016
Сообщения
13
Репутация
1
Это все понятно, с другой стороны Conficker этого не делает, этот код само поизведение искусства, ловушки на DNS стаит, но непонятно как ему это удается без админских прав стек TCP не пропатчить, значит он их получает, мало того они отказались от планировщика глобального таймера внутри программы, вместо этого используется штатный планировщик windows. Он вызывает в разное время разные экспорты из DLL.
Мне вообще не понятно как эти парни вылазиют в другую область памяти и умудряются повредить реестр.
 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 125
Репутация
8 243
Это все понятно, с другой стороны Conficker этого не делает, этот код само поизведение искусства, ловушки на DNS стаит, но непонятно как ему это удается без админских прав стек TCP не пропатчить, значит он их получает, мало того они отказались от планировщика глобального таймера внутри программы, вместо этого используется штатный планировщик windows. Он вызывает в разное время разные экспорты из DLL.
Мне вообще не понятно как эти парни вылазиют в другую область памяти и умудряются повредить реестр.
А конфикер, он-же если не изменяет память Кидо, по мойму вирус 2012 года, он разве обходит уак ?Не въехал!!!

Сейчас загуглил, в той-же википедии сказано вот-что:
Столь быстрое распространение вируса связано со службой Server service. Используя «дыру» в ней, червь скачивает себя из Интернета. Интересно, что разработчики вируса научились постоянно менять свои серверы, что раньше не удавалось злоумышленникам.

Также он может распространяться через USB-накопители, создавая файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например - c:\windows\system32\zorizr.dll. Также прописывает себя в сервисах со случайным именем, состоящим из латинских букв.

Червь использует уязвимости Windows, связанные с переполнением буфера и при помощи обманного RPC-запроса выполняет код. Первым делом он отключает ряд служб — автоматическое обновление Windows, Windows Security Center, Windows Defender и Windows Error Reporting, а также блокирует доступ к сайтам ряда производителей антивирусов.

Периодически червь случайным образом генерирует список сайтов (около 50 тыс. доменных имён в сутки), к которым обращается для получения исполняемого кода. При получении с сайта исполняемого файла червь сверяет электронно-цифровую подпись, и если она совпала — исполняет файл.

Кроме того, червь реализует P2P-механизм обмена обновлениями, что позволяет ему рассылать обновления удалённым копиям, минуя управляющий сервер.
 

Hunchback

Пользователь
Форумчанин
Регистрация
23.10.2016
Сообщения
13
Репутация
1
Уважаемый X-Shar, да все верно, это и есть Кидо 2012 года, но тут вот какое дело, попалась мне машинка с windows 10 с диагнозом (тормозит) я обладел когда поглядел планировщик, дело в том что там куча процессов rundll32.exe UAC отключен, отправляет очень много запросов на другие машины, смотрел через etherape. Остальное все согласно диагнозу, отключена служба защитника, ловушка на DNS (в смысле нельзя зайти на сайты антивирусов). Дальнейшие попытки включить службу защитника windows заканчивались типа не удалось запустить службу 101

И чуть не забыл, случайноеимя.vmx ,было в папке c:\Program Files\Common Files а не как раньше. Размер 913кб

Может провести более детальное рассмотрение пока она на руках ?
 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 125
Репутация
8 243
Может провести более детальное рассмотрение пока она на руках ?
Ну если не секретная технология, то кидайте сюда в тему, тут есть спецы которые могут сделать ресеч...

Под запароленный архив киньте...:)
 

Hunchback

Пользователь
Форумчанин
Регистрация
23.10.2016
Сообщения
13
Репутация
1
Ни чего секретного абсолютно, если есть спецы это еще лучше, вот эта длл, была vmx, пытался дезассемблировать - бесполезно. Экспортные функции если надо погляжу, с размером ошибся.
 

Вложения

  • plkbelq.zip
    151.2 КБ · Просмотры: 29

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 652

Полную версию журнала, а соответственно и статьи скоро можно будет скачать здесь

Если есть другие варианты-выкладывайте.
 
Верх Низ