应用程序白名单
无论是试图获得初始 Beacon 会话,还是对目标用户与主机进行后渗透操作,应用程序白名单作为一项安全控制机制,会阻止我们的行动。接下来,我们来探讨 AppLocker 的概念,与其绕过技术。
AppLocker
AppLocker 是 Microsoft 的应用程序白名单技术,自 Windows 7 开始引入。AppLocker 可以限制允许在系统上运行的可执行文件、脚本、安装包、打包程序以及 dll,并且可以配置启用或仅审计。
如果一个类别被启用了,那么该类别的规则会被适用,每个类别都有各自的默认规则。默认规则下对于 exe 文件而言,任何在 Program Files文件夹下的可执行文件不受影响,Windows 文件夹下的可执行文件不受影响,以及管理员用户 (提升特权)不受影响。
此外,我们还可以添加自定义规则,以及基于拒绝的规则,也就是不允许特定应用被执行。基于拒绝的规则可用于覆盖基于允许的规则,这些规则通常用于阻止 LOLBAS,例如 MSBuild.exe。
我们在 File01 上查看现有的 exe 规则:
Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Exe\
以及现有的脚本规则:
Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\SrpV2\Script\
绕过AppLocker
利用脆弱规则
如果管理员仅采用了默认的 AppLocker 规则,那么我可以们可以轻易地绕过 AppLocker。对于exe文可执行文件的分类,默认规则中的一条是允许 C:\windows\Windows 目录下的文件被执行。在默认的文件权限下,例如 C:\windows\tasksWindows\Tasks,C:\windows\tempWindows\Temp 目录是所有用户可写的。更加完整的列表如下:
c:\windows\system32\microsoft\crypto\rsa\machinekeys
c:\windows\system32\tasks_migrated\microsoft\windows\pla\system
c:\windows\syswow64\tasks\microsoft\windows\pla\system
c:\windows\debug\wia
c:\windows\system32\tasks
c:\windows\syswow64\tasks
c:\windows\tasks
c:\windows\registration\crmlog
c:\windows\system32\com\dmp
c:\windows\system32\fxstmp
c:\windows\system32\spool\drivers\color
c:\windows\system32\spool\printers
c:\windows\system32\spool\servers
c:\windows\syswow64\com\dmp
c:\windows\syswow64\fxstmp
c:\windows\temp
c:\windows\tracing将计算器程序复制到用户目录下,用户目录不在默认规则的白名单中,因此应用的执行会被 AppLocker 阻止。
但当我们将程序复制到一可写的白名单中,便绕过了 AppLocker 的限制。
利用执行 DLL 载荷
因为默认情况下,DLL分AppLocker 中 DLL 分类在“高级”页面,因为配置基于 DLL 分类的规则需要更加仔细与慎重,否则会影响系统性能以及遭遇异常。因此有可能没有,DLL 分类往往不会被管理员所选中配置。
这时候,我们可以编译或生成一个DLL载 DLL 载荷,然后通过 rundll32 命令二进制来执行。下述代码是通过 DLL 来调用 MessageBoxA API。
#include "pch.h"
#include "windows.h"
#include "stdlib.h"
#include <stdio.h>
extern "C" __declspec(dllexport) void msg_export()
{
MessageBoxA(NULL, "From export function", "Message", MB_OK);
}
void msg_dllmain()
{
MessageBoxA(NULL, "From DllMain", "Message", MB_OK);
}
BOOL APIENTRY DllMain(HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
msg_dllmain();
break;
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}导出函数 msg_calc 可被外部调用,自然可以绕过 AppLocker。
第三方执行
AppLocker仅AppLocker 仅适用于原生Windows可 Windows 可执行文件类型,对于Python,Java等 Python,Java 等第三方脚本引擎或者高级语言执行环境,不造成阻碍没有控制效果。例如,我们可以使用 pythonPython 类型的后利用工具进行操作,因为如今一些知名工具都具有多个语言的版本,mimikatz的python版Mimikatz 的 Python版本为 pypykatz (https://github.com/skelsec/pypykatz),此外 impacketImpacket 系列工具本身就是 python 写的,并且在后利用阶段帮助极大。
如图所示,因为没有提供任何参数,所以脚本报错了,但证明了 python 确实不受AppLocker约束。
HTA
hta也是一种常见的载荷分发类型,并且常用于客户端攻击。hta文件的内容与html无异,只是默认由 C:\windows\system32\mshta.exe 所执行。因为 mshta.exe是微软签名的应用程序,因此不被AppLocker所阻碍。我们可以将JScript代码嵌入到hta文件中,以绕过AppLocker,具体代码如下:
<html>
<head>
<script language="JScript">
var shell = new ActiveXObject("WScript.Shell");
var res = shell.Run("C:\\windows\\system32\\calc.exe");
</script>
</head>
<body>
<script language="JScript">
self.close();
</script>
</body>
</html>我们可以在此基础上修改,将Beacon的载荷以JScript的形式插入进去,便可以使用 mshta.exe 执行 hta 文件获得Beacon。
LOLBAS
LOLBAS,即 Live Off The Land (https://lolbas-project.github.io/),是系统内置的可以为我们所用的二进制文件、脚本、库等。LOLBAS的优势在于,因为被微软所签名,所以不会被AppLocker所阻碍,用于其他方面也可以降低被检测的概率。为了突破 AppLocker,我们使用经典的 MSBuild.exe。该文件用于编译 .NET 工程文件,但实际上还有更多用途,例如执行 powershell 命令,注入 shellcode,甚至执行 PE 文件。我们以 mimikatz.exe 为例,从 https://gist.githubusercontent.com/xenoscr/aba102e5f83d3be26b1fe50b15f35c49/raw/04d7da8a72b00fb08e4c5bbd713a041ea2567443/Katz.Proj 下载嵌入了 mimikatz.exe 的工程文件,然后用MSBuild.exe在AppLocker本该锁定的文件夹编译该工程文件,我们会发现可以成功执行 mimikatz。因为工程文件中可以插入 C# 代码,所以 MSBuild.exe 可以在AppLocker 存在的情况下最大程度满足我们对渗透工具的需要。
WDAC
Windows Defender 应用程序控制,即 WDAC,从 Windows 10 开始引入。其作用类似于 AppLocker,但有一些关键区别,其中最重要的是微软承认 WDAC 是官方的安全边界。这意味着 WDAC 更加强大,如果发现绕过 WDAC 的方法,可以获得 CVE 编号。
WDAC 可配置的规则如下:
用于签署应用程序及其二进制文件的协同签名证书的属性
来自文件签名元数据的应用程序二进制文件的属性,例如原始文件名和版本,或文件的哈希值
应用程序的声誉由
启动应用程序及其二进制文件安装的进程标识(托管安装程序)
启动应用程序或文件的路径
启动应用程序或二进制文件的进程从根本上绕过 WDAC 是不存在的,但我们可以寻找配置和策略上的漏洞,以及对 LOLBAS 的利用,我们可以在 https://github.com/bohops/UltimateWDACBypassList 查看可能导致 WDAC 绕过的手册。