后渗透持久化——计划任务篡改
2023-11-21 16:44:27 Author: Ots安全(查看原文) 阅读量:34 收藏

Windows 任务计划程序使 Windows 用户和管理员能够按特定时间间隔执行自动化任务。计划任务通常被威胁行为者和红队滥用为持久性方法,因此该技术引起了 SOC 团队的大量关注,他们正在监视特定的 Windows 事件 ID,以便识别 Windows 计划任务中的修改。

schtasks实用程序是 Windows 生态系统的一部分,可用于篡改(创建或修改)计划任务,以便执行任意植入并在标准用户或管理员的上下文中建立持久性。微软已经披露了来自 HAFNIUM 威胁参与者的工件,这导致了一种新方法的发现,该方法可以逃避可能受到严格监控的schtasks的使用,并利用 Windows 注册表来篡改计划任务。操作注册表项来创建或修改计划任务不会产生典型的噪音(事件 ID 4698 和 106),并且提供了一种更隐蔽的建立持久性的方法。

计划任务存储在注册表中的以下位置:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\TasksHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree

注册表项树包含按名称排列的计划任务,每个任务都有以下注册表项:

可以重新创建上述注册表项结构以生成新的计划任务。应该注意的是,删除 SD 注册表项将导致任务在任务计划程序中或使用命令schtasks /query时不可见。但是,需要提升权限 (SYSTEM) 才能创建或删除这些注册表项。

注册表计划任务树

注册表项Tasks包含计划任务的 GUID(映射到 Tree 注册表项的 Id 值)以及运行计划任务所需的其他注册表项,例如:

  • Task Trigger

  • Task Action

  • Path

该信息采用编码密钥和二进制 blob 格式。微软还透露,删除注册表项Tasks & Tree不会对计划任务产生任何影响,因为它将继续使用定义的参数运行,直到svchost进程终止或系统重新启动。


注册表计划任务

创建新任务

Chris Au开发了一个名为GhostTask的信标目标文件,它实现了计划任务篡改的隐形技术。GhostTask可以直接从内存中为任意计划任务创建注册表结构。执行以下命令将在每天的特定时间运行植入程序。

GhostTask.exe localhost add pentestlab "cmd.exe" "/c demon.x64.exe" red\Administrator daily 11:30

计划任务 – 创建新任务

控制台末尾将显示新创建的任务的信息。

计划任务 – 创建新任务输出

检查注册表将验证注册表项是否已成功创建。

计划任务篡改——任意任务


计划任务篡改——任务信息

运行植入程序的命令将存储在 actions 键中。

计划任务篡改 - Actions 注册表项

任务修改

GhostTask 还可用于通过任意信标篡改现有计划任务,以实现更隐蔽的方法。执行以下命令将修改CacheTask,以便每天以特定时间间隔 在用户peter的上下文中执行信标。

GhostTask.exe localhost add "Microsoft\Windows\Wininet\CacheTask" "cmd.exe" "/c  C:\Users\peter\Downloads\demon.x64.exe" red/peter daily 11:37

计划任务篡改 – 任务篡改

查看任务计划程序将验证任务是否已成功修改。

计划任务篡改 – 计划任务

Havoc Command and Controller 的默认植入支持计划任务 bof,可用于从植入中查询被篡改的计划任务。

schtasksquery Microsoft\Windows\Wininet\CacheTask


Havoc C2 – 计划任务查询

计划任务的 XML 架构将显示在输出中,作为验证任务是否已被篡改的替代方法。

Havoc C2 – 计划任务枚举

执行计划任务后,将建立连接。

计划任务篡改 – Havoc C2 会话

参考

https://labs.withsecure.com/publications/scheduled-task-tampering

https://github.com/netero1010/GhostTask

https://posts.specterops.io/abstracting-scheduled-tasks-3b6451f6a1c5

https://cyber.wtf/2022/06/01/windows-registry-analysis-todays-episode-tasks/

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247502896&idx=1&sn=e71365f49f84d664b655fde7185f4cd4&chksm=9bad857bacda0c6da23ef36dbc67745065e6ea47aa452db4d9a433826f0b8e5ef4d8ee64e021&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh