【技术分享】一种深度隐蔽的域后门方式

https://p0.ssl.qhimg.com/t010323d2135d9e682a.jpg

者:360U1259595288这位作者没有昵称哇)

预估稿费:300RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

前言

在域网络中留隐蔽性高的后门一直是很多人追求的目标。今天分享一种基于域内对象ACL(Access Control Link访问控制链)的深度隐藏后门。

一直关注这方面的研究,后面会和大家分享系列的学习成果。

0x01 背景知识介绍

域网络中,域的组策略和脚本存放在域服务器的SYSVOL目录,所有域用户均可自由访问,但只有部分高权限用户才有修改权限。域内账号在登录域时,会查询、执行(如果有变化)属于自己的域策略、执行脚本。一定程度上说,控制了SYSVOL目录,就有很大概率控制域网络。

如果域中部署了登录日志审计软件,则会严格审计域内高权限账号的登录、使用情况。所以使用高权限用户控制域网络的方式,隐蔽性并不高。而且,一般来说,域策略会强制周期性修改高权限用户的密码,但是对低权限用户来说不一定有这个强制性要求,而且域中往往有很多用户几乎不怎么登录、使用。

如果低权限用户具备SYSVOL目录的修改权限,登录域时,因为权限不高颜值普通,不会被审计软件发现。现在的防护、监控类软件还没有过多关注目录的ACL,因此这种方式是一种很实用的隐蔽后门方式。

测试环境:Windows 2016 R2 英文版(域服务器,acllab.com);Windows 7 SP1中文版(域内主机)。

0x02 实现方式

以SYSVOL目录下的Policies目录测试实现方式。

第一步,下面的这张图,使用普通用户eviluser登录域客户端Windows 7。通过net use链接域服务器,可查看访问服务器共享的目录,但是没有写权限。

 http://p9.qhimg.com/t0168124ce0b086405d.jpg

第二步,下面的这张图,表示在域服务器上,我们通过资源管理工具给Policies目录添加了写权限(也可以是完全控制权),并继承给所有子目录和文件。

 http://p7.qhimg.com/t01489a69e91cc7c0e7.jpg

接下来的这张图显示是Policies目录的安全选项卡,eviluser单独作为权限用户。正常情况下,普通用户都只有Authenticated users用户组权限。

 http://p4.qhimg.com/t0129da8d08159eff41.jpg

第三步,下面的图,服务器中目录的ACL权限设置成功后,在原来的IPC连接中,普通域用户eviluser成功地往Policies目录写入了数据,证明具备了对该目录的写入权限。从而可以修改里面的策略和脚本,一种隐蔽的后门。

 http://p2.qhimg.com/t01d22a72f930077d63.jpg

在实际的应用中,界面操作不方便,Powershell脚本方式可实现同样的功能,如下图。

  http://p5.qhimg.com/t01c46ad4d212e15e8b.jpg

通过PowerShell设置了目录的控制权限,接下来的事情和上面一样,不再啰嗦。


0x03 小结

这种后门方式,只是演示了ACL后门的一种具体形式,因为域中的对象太多,可以操控的ACL对象也很多。读者可以根据自己的需要,灵活选择目标的ACL作为目标进行修改,埋藏后门。

当然关于ACL的检测,微软也推出了专门的工具,ACL Scanner,如果周期性地是用该工具进行检测,还是能检测到这种类型的后门。

(完)