如何在红队活动中使用PersistBOF实现持久化

关于PersistBOF

PersistBOF是一款针对Windows系统安全的持久化工具,该工具能够以自动化的形式实现常见的持久化技术。当前版本的PersistBOF支持Print Monitor(系统服务)、Time Provider(网络服务)和启动目录快捷方式劫持(用户服务)等。

PersistBOF所实现的所有技术都依赖于一个DLL文件,这个DLL文件会以分布式的形式存储到目标系统 磁盘中。

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/IcebreakerSecurity/PersistBOF.git

接下来,我们需要切换到项目目录,并运行make命令来构建源码:

make

最后,将生成的.cna文件添加到Cobalt Strike客户端即可。

参考语句:

persist-ice [PrintMon, TimeProv, Shortcut] [persist or clean] [key/folder name] [dll / lnk exe name];
图片[1]-如何在红队活动中使用PersistBOF实现持久化-NGC660 安全实验室

工具使用

Print Monitor

工具所使用的DLL文件必须要存储在目标设备磁盘中,而且必须要在BOF运行之前在PATH环境变量中设置好DLL的路径位置(DLL搜索顺序),否则将无法正常实现持久化。

这种方式可以将管理员权限提升至SYSTEM权限,并实现持久化。

PrintMonitorDll使用样例:

1、将NotMalware.dll上传到C:\Windows\NotMalware.dll;

2、NotMalware.dll将通过PrintMon以TotesLegitMonitor来实现持久化;

3、程序将立即以SYSTEM权限执行;

4、程序会在系统启动时自动执行;

Time Provider

运行了PersistBOF之后,程序将通过svchost.exe以NETWORK SERVICE的形式在系统启动时执行。

TimeProvider使用样例:

工具使用TimeProv并通过TotesLegitTimeProvider实现持久化(C:\anywhere\NotMalware.dll);

启动目录劫持

创建一个新的、用户可写的目录,然后将可劫持的Windows代码拷贝到该目录中,并在启动目录中创建一个指向该文件的快捷方式。最后,该程序将会在用户登录时执行。

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

PersistBOF:GitHub传送门

参考资料

https://stmxcsr.com/persistence/print-monitor.html

https://stmxcsr.com/persistence/time-provider.html

https://pentestlab.blog/2019/10/28/persistence-port-monitors/

https://blog.f-secure.com/hunting-for-junction-folder-persistence/

https://attack.mitre.org/techniques/T1547/010/

https://attack.mitre.org/techniques/T1547/003/

https://attack.mitre.org/techniques/T1547/009/

本文作者:Alpha_h4ck, 转载请注明来自FreeBuf.COM

© 版权声明
THE END
喜欢就支持一下吧
点赞12赏点小钱 分享