一个有趣的横向移动技术POC代码
2023-12-11 10:20:10 Author: 黑白之道(查看原文) 阅读量:17 收藏

项目简介

ServiceMove是一个有趣的横向移动技术的POC代码,通过滥用Windows感知模拟服务来实现DLL劫持代码执行(仅限Windows 10 1809或更高版本)。

每次启动“Windows感知模拟服务”时,都会加载一个不存在的DLL文件(即hid.dll)。通过在“C:\Windows\System32\PerceptionSimulation”中插入精心设计的DLL并远程启动服务,我们能够在远程系统中以“NT AUTHORITY\SYSTEM”的身份实现代码执行。
该技术的优点在于它相对隐蔽/OPSEC,因为它不像其他一般横向移动技术(例如,服务创建/修改、计划任务创建)那样具有典型的 IOC。它要做的只是将文件拖放到远程系统并远程启动服务。

工具使用

===General use===  Command: bof-servicemove target /root/hid.dll  
===Force mode=== Description: restart the service if the service is already running Command: bof-servicemove target /root/hid.dll force
===Cleanup mode=== Description: stop the service if running and delete the DLL payload file Command: bof-servicemove target cleanup
GIF动图演示:

Lazarus组织曾在一次攻击活动中也使用过ServiceMove这种横向移动技术:通过DeathNote活动发现的Lazarus组织的最新攻击趋势

参考及来源:https://securelist.com/the-lazarus-group-deathnote-campaign/109490/

下载地址

https://github.com/netero1010/ServiceMove-BOF

文章来源:Hack分享吧

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650583548&idx=4&sn=fb4186a18c613a0bd1bfa56c550531e8&chksm=83bdd418b4ca5d0eccec02a3cb121bcf7d10aefc1e21398f7a753a6ce763fa3fe5d7a38e2f6c&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh