Dridex使用的一种新型UAC绕过方法

2015-05-27 12:04:02 来源：360安全播报 阅读：7456次 点赞(1) 收藏(1)

分享到：

d8cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4l9I4i4K6u0W2M7h3S2A6L8h3N6Q4x3X3g2U0L8$3#2Q4x3V1k6@1x3o6p5I4j5X3p5H3k6U0S2T1j5X3b7H3x3o6y4U0k6U0m8T1i4K6u0W2M7r3&6Y4

Dridex使用的一种新型UAC绕过方法

今天介绍一种新型UAC绕过方法，这种方法曾于2014年12月被Dridex恶意软件使用过。

介绍

Dridex是一个银行木马，它是一个利用C&C服务器通过HTTP通信的机器人。

大多数的Dridex样本都被JPCERT/CC按照图1流程监测。A型样本来自一个Word文档（带有宏），下载并执行。Dridex由两个模块组成，初始模块下载主模块。

图1：Dridex感染流

655K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4l9#2i4K6u0W2M7h3S2A6L8h3N6Q4x3X3g2U0L8$3#2Q4x3V1k6@1x3o6p5@1k6U0S2T1x3X3p5%4x3e0t1@1j5U0x3@1k6e0q4T1i4K6u0W2M7r3&6Y4

传统的UAC绕过方法

在我使用新型UAC绕过方法之前，我很高兴描述以下传统的绕过方法。PlugX是一个可以被用于UAC绕过方法的恶意软件，这是以前博客的主题。图2介绍了使用Plug绕过UAC的传统方法。

图2：传统的UAC绕过方法

8a0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4l9%4i4K6u0W2M7h3S2A6L8h3N6Q4x3X3g2U0L8$3#2Q4x3V1k6@1x3o6q4U0j5h3j5^5y4K6V1K6z5e0V1^5j5h3c8T1z5o6M7$3i4K6u0W2M7r3&6Y4

1、PlugX创建了一个DLL(UAC.TMP)

2、PlugX插入代码刀运行explorer.exe，然后explorer.exe移动UAC.TMP到C:\Windows\System32\sysprep\cryptbase.dll

3、C:\Windows\System32\sysprep\sysprep.exe被执行，sysprep.exe加载具有管理权限的C:\Windows\System32\sysprep\cryptbase.dll

4、C:\Windows\System32\sysprep\cryptbase.dll用管理员权限执行PlugX

在这种方法中，通过利用Windows 7的下列行为，把权限升级为管理员权限，而不现实UAC警告。

由Windows出版商数字签名程序，然后保存在一个安全的保护文件夹中，比如explorer.exe可以用管理员权限被执行，不显示UAC警告（在这种情况下，把DLL移动到C:\Windows\System32\sysprep\）。

sysprep.exe这样的程序被视为自动升级程序，程序可以升级权限刀管理员权限而在启动时没有UAC警告。

一些程序，如C:\Windows\System32\sysprep\sysprep.exe加载存储在同一个文件夹中DLL。

一个新的UAC绕过方法使用应用程序兼容性数据库。

一个新的被JPCERT/CC观察的UAC绕过方法被表现出使用应用程序兼容性数据库的特征。一个应用程序兼容性数据库是一个配置应用执行规则的文件。这些文件具有sdb延伸。Dridex利用这个特征绕过UAC，如图3。

图3：新型UAC绕过方法

5bbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4l9H3i4K6u0W2M7h3S2A6L8h3N6Q4x3X3g2U0L8$3#2Q4x3V1k6@1x3o6p5H3k6h3j5H3k6e0M7%4k6U0g2U0j5K6f1@1x3e0m8X3i4K6u0W2M7r3&6Y4

1、Dridex创建应用程序兼容性数据库（$$$.seb），一个批处理文件（$$$.bat）和一个备份文件（edg3FAC.exe）。

2、Dridex使用sdbinst命令安装/卸载应用程序兼容性数据库来安装$$$.sdb。

3、Dridex启动iscsicli，这是一个iscsi启动器的命令行工具。然而，在安装完成的应用程序兼容性数据库($$$.sdb)中，配置导致管理员权限iscsicliexe执行$$$.bat。

4、$$$.bat执行edg3FAC.exe有管理员权限。

这个方法利用Windows7中中的详细描述，与传统方法相比，这个方法使利用更加简单。即使Windows改变规格，这个方法可能还是可以利用的。

自动提升程序，比如sdbinst.exe和iscsicli.exe自动提升权限到管理员权限，当UAC警告没有被显示。

sdbinst命令可以改变其他程序的行为，它也是系统提权程序。

让我们看看被安装的$$$.sdb。通过使用HEX编辑器，你可以看到这个数据库有一个入口，当iscsicli.exe被启动时，$$$.bat通过iscsicli.exe被执行。

2aaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4l9K6i4K6u0W2M7h3S2A6L8h3N6Q4x3X3g2U0L8$3#2Q4x3V1k6@1x3o6q4V1x3U0q4W2x3h3p5K6j5U0y4S2x3e0j5$3k6h3f1I4i4K6u0W2M7r3&6Y4

创建完成后，$$$.bat使用管理员权限被执行，如下。你可以看到他执行Dridex的副本，edg3FAC.exe。此外，$$$.bat卸载已经安装的应用程序兼容性数据库，并删除证据。
1
2
3
4
5
6
7
       
start C:\Users\user_name\AppData\Local\edg3FAC.exe C:\Users\user_name\Desktop\malware.exe
sdbinst.exe /q /u "C:\Users\user_name\AppData\LocalLow\$$$.sdb"
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\iscsicli.exe" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB\{f48a0c57-7c48-461c-9957-ab255ddc986e}" /f
del C:\Windows\AppPatch\Custom\{f48a0c57-7c48-461c-9957-ab255ddc986e}.sdb
del %LOCALAPPDATA%Low\$$$.sdb
del %LOCALAPPDATA%Low\$$$.bat

总结

这种新型UAC绕过方法在其他几个非Dridex恶意软件中也被观察到了。被UAC绕过获得的管理员权限不仅用来执行需要管理员权限的恶意软件，还用来被观察Windows防火墙设置的更改。

本文由 360安全播报 翻译，转载请注明“转自360安全播报”，并附上链接。
原文链接：9f9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2B7M7r3y4W2M7Y4c8Q4x3X3g2G2M7W2)9J5k6h3A6H3i4K6u0r3i4K6u0W2M7#2)9J5c8U0t1H3x3e0g2Q4x3V1j5H3y4g2)9J5c8X3q4Q4x3X3c8F1k6i4N6Q4x3X3c8#2j5h3y4Q4x3X3c8T1P5i4m8S2M7%4y4Q4x3X3c8E0k6i4c8Z5L8$3c8Q4x3X3c8@1K9r3q4@1i4K6u0V1k6s2u0A6k6r3g2^5i4K6u0V1N6i4y4W2M7#2)9J5k6h3S2@1L8h3H3`.

[培训]科锐逆向工程师培训第53期2025年7月8日开班！