应用程序白名单
无论是试图获得初始 Beacon 会话,还是对目标用户与主机进行后渗透操作,应用程序白名单作为一项安全控制机制,会阻止我们的行动。接下来,我们来探讨 AppLocker 的概念,与其绕过技术。
AppLocker
AppLocker 是 Microsoft 的应用程序白名单技术,自 Windows 7 开始引入。AppLocker 可以限制允许在系统上运行的可执行文件、脚本、安装包、打包程序甚至dll,以及 dll,并且可以配置启用、或仅审计、以及无。
如果一个类别被配置了启用了,那么对应该类别的规则会被适用,每个类别都有各自的默认规则。默认规则下对于exe文 exe 文件而言,任何在 Program Files文Files文件夹下的可执行文件不受影响,Windows 文件夹下的可执行文件不受影响,以及管理员用户 (提升特权)不受影响。
此外,我们还可以添加自定义规则,以及基于拒绝的规则,以及基于拒绝的规则,即也就是不允许特定应用被执行。特定的基于拒绝的规则可用于覆盖基于允许的规则,这些规则通常用于阻止“LOLBAS” (https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-block-rules)LOLBAS,例如 MSBuild.exe。
我们在之前 File01 上查看现有的章节讲过怎么验证AppLocker的存在。接下来,我们讨论如何绕过AppLocker。 exe 规则:
Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Exe\
以及现有的脚本规则:
Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Script\
绕过AppLocker
利用脆弱规则
如果管理员仅采用了默认规则,那么我可以可以轻易地绕过AppLocker。对于exe文件的分类,默认规则中的一条是允许 C:\windows\ 目录下的文件被执行。在默认的文件权限下,例如 C:\windows\tasks,C:\windows\temp 是所有用户可写的。
利用DLL
因为默认情况下,DLL分类在“高级”页面,因此有可能没有被管理员所选中。这时候,我们可以生成一个DLL载荷,然后通过rundll32 命令执行。
第三方执行
AppLocker仅适用于原生Windows可执行文件类型,对于Python,Java等第三方脚本引擎或者高级语言执行环境,不造成阻碍。例如,我们可以使用 python 类型的后利用工具进行操作,因为如今一些知名工具都具有多个语言的版本,mimikatz的python版本为 pypykatz (https://github.com/skelsec/pypykatz),此外 impacket 系列工具本身就是 python 写的,并且在后利用阶段帮助极大。
如图所示,因为没有提供任何参数,所以脚本报错了,但证明了 python 确实不受AppLocker约束。
HTA
hta也是一种常见的载荷分发类型,并且常用于客户端攻击。hta文件的内容与html无异,只是默认由 C:\windows\system32\mshta.exe 所执行。因为 mshta.exe是微软签名的应用程序,因此不被AppLocker所阻碍。我们可以将JScript代码嵌入到hta文件中,以绕过AppLocker,具体代码如下:
<html>
<head>
<script language="JScript">
var shell = new ActiveXObject("WScript.Shell");
var res = shell.Run("C:\\windows\\system32\\calc.exe");
</script>
</head>
<body>
<script language="JScript">
self.close();
</script>
</body>
</html>我们可以在此基础上修改,将Beacon的载荷以JScript的形式插入进去,便可以使用 mshta.exe 执行 hta 文件获得Beacon。
LOLBAS
LOLBAS,即 Live Off The Land (https://lolbas-project.github.io/),是系统内置的可以为我们所用的二进制文件、脚本、库等。LOLBAS的优势在于,因为被微软所签名,所以不会被AppLocker所阻碍,用于其他方面也可以降低被检测的概率。为了突破 AppLocker,我们使用经典的 MSBuild.exe。该文件用于编译 .NET 工程文件,但实际上还有更多用途,例如执行 powershell 命令,注入 shellcode,甚至执行 PE 文件。我们以 mimikatz.exe 为例,从 https://gist.githubusercontent.com/xenoscr/aba102e5f83d3be26b1fe50b15f35c49/raw/04d7da8a72b00fb08e4c5bbd713a041ea2567443/Katz.Proj 下载嵌入了 mimikatz.exe 的工程文件,然后用MSBuild.exe在AppLocker本该锁定的文件夹编译该工程文件,我们会发现可以成功执行 mimikatz。因为工程文件中可以插入 C# 代码,所以 MSBuild.exe 可以在AppLocker 存在的情况下最大程度满足我们对渗透工具的需要。
WDAC
Windows Defender 应用程序控制,即 WDAC,从 Windows 10 开始引入。其作用类似于 AppLocker,但有一些关键区别,其中最重要的是微软承认 WDAC 是官方的安全边界。这意味着 WDAC 更加强大,如果发现绕过 WDAC 的方法,可以获得 CVE 编号。
WDAC 可配置的规则如下:
用于签署应用程序及其二进制文件的协同签名证书的属性
来自文件签名元数据的应用程序二进制文件的属性,例如原始文件名和版本,或文件的哈希值
应用程序的声誉由
启动应用程序及其二进制文件安装的进程标识(托管安装程序)
启动应用程序或文件的路径
启动应用程序或二进制文件的进程从根本上绕过 WDAC 是不存在的,但我们可以寻找配置和策略上的漏洞,以及对 LOLBAS 的利用,我们可以在 https://github.com/bohops/UltimateWDACBypassList 查看可能导致 WDAC 绕过的手册。