查看: 1965|回复: 14
收起左侧

[讨论] windows标准用户下的一个攻击思路。

[复制链接]
kfne12
头像被屏蔽
发表于 2018-4-1 16:43:23 | 显示全部楼层 |阅读模式
本帖最后由 kfne12 于 2018-4-3 21:25 编辑

无聊了,看到论坛有个回复问360能不能在标准用户下用,于是想起一个俺5年前说的话题,那么现在我就说说关于在windows标准用户下的一个攻击思路。
-----------------
我们都知道微软是推荐win7用户平常使用电脑保持开启UAC并使用一个标准用户登录的(反正说是这么说的,只是这么做的人几乎没有。。),理由是这样更加安全。
http://www.jb51.net/os/windows/35382.html

我们又知道,开启了UAC,登录标准用户后,360会申请管理员权限运行。
http://bbs.360.cn/thread-14456138-1-1.html

-----------------
设想真有有这么个A君,是一个乖宝宝很听微软爸爸的话,也很有安全意识。装上系统后,先装上了360安全卫士,然后建了个标准用户,平时都登录这个标准用户,在里面只是上上网,从不在这个账户里安装运行什么软件。
A君每次登录这个标准用户,都会看到跳出一个框框,提示360要启动,请输入管理员密码,A君想,360安全卫士,保护安全的干活,大大的好,我当然要允许的了(不允许也启动不了360),所以每次都是这样启动360,养成了这么个开启UAC登录标准用户再启动360的“好习惯”。
于是针对这种“好习惯”的木马攻击思路就来了。你A君不是每次都启动360吗。那我就弄个木马利用这个“好习惯”来提权。先释放两个文件,一个是带360签名的会申请管理员运行的白程序比如LSPFix.exe,一个是LSPFix会加载到的dll,是个木马。
然后过下主防(win7下过360主防并不难吧)
写个启动指向LSPFix.exe.
设想一个,A君在标准用户下运行了我的这个木马后,下一次A君再登陆这个标准用户,照样会出来一个框框提示360要启动,和往常的框框一模一样,显示的照旧是360签名的程序,A君照旧会允许启动。只是A君不知道的是,这次启动的360不是真的360,而是个木马LSPFix.exe,已经提升为管理员权限感染系统了。

当然你会说这跟360有什么关系,360这么设计毫无问题。确实是这样的,以前我大惊小怪的,现在想想也不觉得360这么设计有什么问题。。。
即使360平常不申请管理员权限,弄个带360签名的白加黑木马伪装成360的升级程序申请一下管理员运行也会很多人允许,成功率也不低。
我只是觉得,站在木马的角度,利用360培养A君形成的这种“好习惯”来提权,成功率几乎是100%的,是不是。

kfne12
头像被屏蔽
 楼主| 发表于 2018-4-1 17:09:38 | 显示全部楼层
本帖最后由 kfne12 于 2018-4-1 18:29 编辑

搞错了,详见5楼
重新测试了一下,反而更糊涂了。
实际情况并不如我1楼所想象的那样。
标准账户下,如果一个程序在启动项里,即使申请管理员权限,启动时也不会成功弹出申请管理员权限的窗户。
就是说一个双击可以弹出申请管理员窗口的程序,放到启动项里就不能弹窗了
貌似这是UAC的安全机制?
等下,我再研究下。。
kfne12
头像被屏蔽
 楼主| 发表于 2018-4-1 17:35:53 | 显示全部楼层
本帖最后由 kfne12 于 2018-4-1 18:29 编辑

哈哈,搞错了。详见5楼

测试了一下,
貌似不能说360没有问题啊。。
貌似这是UAC一项安全机制?
不管是什么账户登录,都不允许一个申请管理员权限的自启动里的程序去运行?也就是说windows处于安全考虑,故意这么做,不允许一个自启动程序去申请管理员权限从而避免我1楼说的这种攻击出现。

而360直接就把这个机制和谐了?好像360是绕过了这个机制在开了UAC的标准账户里去申请管理员权限启动的,
同时又没有处理exefile关联劫持的问题。于是我劫持一下exefile关联,就可以让我的带有360签名的白加黑木马弹一模一样的窗申请管理员自启动了。。
这个逻辑我猜的对不对?
这什么情况,360的人能不能出来解答一下。





kfne12
头像被屏蔽
 楼主| 发表于 2018-4-1 17:53:59 | 显示全部楼层
本帖最后由 kfne12 于 2018-4-1 18:29 编辑


我反正是不会编程的,很多东西只能乱猜了。
网上查到三种manifest设置运行权限的。

  1. asInvoker : 如果选这个,应用程序就是以当前的权限运行。

  2. highestAvailable: 这个是以当前用户可以获得的最高权限运行。

  3. requireAdministrator: 这个是仅以系统管理员权限运行。
复制代码


360在标准账户下能够自启弹窗申请管理员到底是用的哪一种?

我试了我机子上其他的申请管理员权限的程序都不能再标准账户下自启啊。。。。。。

糊涂了。
kfne12
头像被屏蔽
 楼主| 发表于 2018-4-1 18:26:10 | 显示全部楼层
搞明白了,是我想多错怪360了,不是360和谐了什么UAC。
是我没把启动项写到Wow6432Node所致。。。

32位程序不写到Wow6432Node居然就无法提权,这么神奇。。。
360主动防御
发表于 2018-4-1 18:56:37 | 显示全部楼层
kfne12 发表于 2018-4-1 18:26
搞明白了,是我想多错怪360了,不是360和谐了什么UAC。
是我没把启动项写到Wow6432Node所致。。。

非管理员账户也是可以运行的,但是安全软件还是建议在管理员身份下运行
360主动防御
发表于 2018-4-3 11:34:21 | 显示全部楼层
kfne12 发表于 2018-4-1 18:26
搞明白了,是我想多错怪360了,不是360和谐了什么UAC。
是我没把启动项写到Wow6432Node所致。。。

请问一下,您有没有验证加载过黑dll,360安全卫士是存在签名校验的,所以正常是不会被利用的
kfne12
头像被屏蔽
 楼主| 发表于 2018-4-3 12:01:00 | 显示全部楼层
本帖最后由 kfne12 于 2018-4-3 12:04 编辑
360主动防御 发表于 2018-4-3 11:34
请问一下,您有没有验证加载过黑dll,360安全卫士是存在签名校验的,所以正常是不会被利用的

360自己的dll验证,系统dll不验证,比如msimg32.dll,version.dll是不验证的。

另外即使是验证自己的dll,可以找点古老版本的360的exe,那时候也是不验证的,同样有360的签名。

另外这个帖子不过就是讨论一种利用人麻痹大意的操作习惯在几乎没有人使用的标准账户下干事情的思路,没什么实用意义。从360的角度,我个人觉得360目前的设计是没啥问题的。

啦啦啦的吗西亚
发表于 2018-4-3 17:17:13 | 显示全部楼层
删贴吧,谢谢
kfne12
头像被屏蔽
 楼主| 发表于 2018-4-3 20:16:29 | 显示全部楼层

为什么?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 15:11 , Processed in 0.132586 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表