权限维持 | 绕过360核晶、火绒、添加Windows 服服务 - 新鲜讯息

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送，建议大家能把星落安全团队“设为星标”，否则可能就看不到了啦！

背景介绍

通过 Windows 服务 维持进程权限是许多攻击者或渗透测试者用来在目标机器上长期维持权限的一种常见技术。Windows 服务是系统中长期运行的后台进程，通常具有较高的权限（如 LocalSystem 权限），因此能够执行敏感操作、访问受限资源，甚至在用户注销或重启后依旧保持活跃。获取方式:星球内部获取或者文章付费获取!

优势介绍

Windows 服务与计划任务的优势对比

特性	Windows 服务	计划任务
权限	可以设置为高权限（LocalSystem、NetworkService）	默认使用当前用户权限，但可以通过 `run as` 提升权限
启动方式	开机自动启动、用户登录后启动、手动启动	可以设置为系统启动时、用户登录时、定时任务等
持久性	持久性较强，服务可以在系统重启后保持运行	一旦任务执行完成就结束，需要重新创建计划任务
隐蔽性	可以隐藏在系统服务中，较难被察觉	如果任务名称合理，且任务设置无异常，较难被察觉
灵活性	可自定义任务执行频率和启动条件	主要用于定时或特定条件下执行，灵活性较差
管理方式	需要通过服务管理工具或命令行管理	可以通过任务计划程序管理界面或命令行管理

Windows 服务的优势

高权限运行
：服务可以以 LocalSystem 等系统权限运行，这使得它能够绕过用户权限限制，访问系统敏感资源，执行高权限操作。
持久性
：服务在系统启动时自动运行，不依赖于用户登录状态。即便用户注销或系统重启，服务仍然会自动启动并保持运行。
更隐蔽
：通过服务运行的程序通常不显示在用户的任务管理器中，这使得它比计划任务更难被察觉。

常见添加 Windows 服务方式

1. 使用 `sc create` 命令

sc 是 Windows 系统提供的一个命令行工具，主要用于与服务控制管理器进行交互。可以通过 sc create 命令创建服务。

语法：

sc create [服务名称] binPath= "[恶意程序路径]"

[服务名称]：服务的名称。
binPath=：服务的二进制路径，即恶意程序的路径。

示例：

sc create MyMaliciousService binPath= "C:malicious.exe"

1.1 参数说明

type=：指定服务的类型（如 own、share 等）。
start=：指定服务的启动方式（如 auto、demand 等）。
binPath=：服务的可执行文件路径。
depend=：指定服务依赖的其他服务。
obj=：指定服务的账户（如 LocalSystem、NetworkService）。
DisplayName=：服务显示的名称。

通过这种方式添加的服务会在系统启动时运行，可以选择设置服务的启动类型（自动启动、手动启动等）。

2. 使用 `CreateService` API

CreateService 是 Windows API 提供的一种方法，可以通过编程的方式创建服务。通过调用该 API，攻击者可以以更细粒度的方式控制服务的创建过程。

语法：

SC_HANDLE CreateService(  SC_HANDLE        hSCManager,  LPCTSTR          lpServiceName,  LPCTSTR          lpDisplayName,  DWORD            dwDesiredAccess,  DWORD            dwServiceType,  DWORD            dwStartType,  DWORD            dwErrorControl,  LPCTSTR          lpBinaryPathName,  LPCTSTR          lpLoadOrderGroup,  LPDWORD          lpdwTagId,  LPCTSTR          lpDependencies,  LPCTSTR          lpServiceStartName,  LPCTSTR          lpPassword);

hSCManager：服务控制管理器句柄。
lpServiceName：服务名称。
lpDisplayName：服务显示名称。
dwServiceType：服务类型。
dwStartType：服务启动方式。
dwErrorControl：错误控制类型。
lpBinaryPathName：可执行文件路径。
lpDependencies：服务依赖项。

示例：

SC_HANDLE hSCManager = OpenSCManager(NULL, NULL, SC_MANAGER_CREATE_SERVICE);SC_HANDLE hService = CreateService(    hSCManager,"MaliciousService","Malicious Service",    SERVICE_ALL_ACCESS,    SERVICE_WIN32_OWN_PROCESS,    SERVICE_AUTO_START,    SERVICE_ERROR_NORMAL,"C:\malicious.exe",NULL, NULL, NULL, NULL, NULL);

这种方法可以通过程序动态创建服务，并指定服务的各种参数（如启动类型、依赖关系、账户类型等）。

3. 修改注册表

Windows 服务的配置信息存储在注册表中。服务的注册表项通常位于 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 下。通过直接修改注册表，攻击者可以向系统添加服务。

过程：

在 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 下创建一个新的服务键。
在该键下设置服务的各项配置（如服务名称、二进制路径、启动类型等）。

示例：

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMyMaliciousService]"ImagePath"="C:\malicious.exe""Type"=dword:00000010"Start"=dword:00000002

ImagePath：指定服务的二进制路径。
Type：指定服务类型（例如，00000010 表示 SERVICE_WIN32_OWN_PROCESS）。
Start：指定服务的启动类型（例如，00000002 表示自动启动）。

修改注册表的方式需要管理员权限，且在服务启动时会被加载，因此这种方式也常用于恶意持久化。

4. 使用 PowerShell

PowerShell 提供了强大的命令行和脚本编写能力，可以通过 New-Service cmdlet 来创建服务。

语法：

New-Service -Name "MaliciousService" -Binary "C:pathtomalicious.exe" -StartupType Automatic

示例：

New-Service -Name "MyMaliciousService" -Binary "C:malicious.exe" -StartupType AutomaticStart-Service "MyMaliciousService"

但是上述方式均被杀软监测的死死的，无法绕过杀毒软件添加WIndows服务，特别是开启核晶状态的360。

通过白文件添加 Windows 服务

在进行Windows服务添加时，某些情况下可能需要绕过杀软检测或使用经过杀软白名单处理的文件。以下是通过白文件自带的添加Windows服务功能进行服务添加的步骤和相关命令。需要强调的是，这里指的不是通过恶意手段或“白加黑”方式，而是利用合法的白名单文件本身的功能来实现。（白文件有64位以及32位版本）

静态免杀效果

360核晶:

火绒6:

defender:

众所周知，特别是对于开启核晶的360，静态免杀说明不了什么，那么我以冰蝎webshell为例，去执行命令添加Windows服务：