在渗透测试和红队攻击中,持久化是攻击者确保在系统重启或安全检测后仍能继续访问目标系统的一种关键技术。通过保持对目标系统的长期控制,攻击者可以在不被发现的情况下获取敏感信息或执行其他恶意操作。本文将介绍一种常见的持久化方法—通过修改Windows屏幕保护程序的方式来实现恶意程序的持久化。
Windows操作系统提供了一种被称为 屏幕保护程序(ScreenSaver)的功能,通常用于在用户未操作计算机时自动启动一个程序以保护屏幕。攻击者可以利用这一功能,通过修改注册表中的配置,将恶意程序指定为屏幕保护程序,从而使得该程序在系统启动后自动运行,达到了持久化的目的。
下面通过这段代码,可以利用屏幕保护程序的机制来创建持久化,具体如下所示。
RegistryKey key = Registry.CurrentUser.CreateSubKey("Control Panel\Desktop\");key.SetValue("ScreenSaveActive","0");key.SetValue("ScreenSaveTimeOut","0");key.SetValue("SCRNSAVE.EXE", args[1]);key.Close();Console.WriteLine("[*] Screensaver Persistence created");
首先,代码通过 Registry.CurrentUser.CreateSubKey("Control Panel\Desktop\") 创建或打开当前用户的注册表项。这些注册表项控制着与屏幕保护程序相关的设置。
随后,通过设置 ScreenSaveActive 键值为 0,系统将禁用默认的屏幕保护程序。然而,实际上并不是完全禁用,而是将恶意程序伪装成屏幕保护程序。
最后,通过将 SCRNSAVE.EXE 键值设置为命令行参数中的恶意程序路径,使得该恶意程序被注册为系统的屏幕保护程序。
Sharp4RedPersist 就是一款专门基于此技术实现的红队工具,它利用Windows操作系统的屏幕保护程序功能,通过注册表修改实现持久化。
2.1 工具用法
Sharp4RedPersist 进行持久化配置非常简单,只需要通过指定 --screensaver 参数来设置目标恶意程序为屏幕保护程序。Sharp4RedPersist.exe --screensaver "C:1.exe"
Sharp4RedPersist 会将 C:1.exe 设置为目标系统的屏幕保护程序,并确保它在系统启动时自动执行。Sharp4RedPersist 是一种高效的红队持久化工具,通过利用Windows的屏幕保护程序功能,实现了对目标系统的隐蔽持续访问。能够轻松修改注册表配置,将恶意程序伪装成合法的屏幕保护程序,并在系统重启后自动执行,为红队攻击者提供了持续控制目标系统的手段。文章涉及的工具已打包在星球,感兴趣的朋友可以加入自取。从漏洞分析到安全攻防,我们涵盖了 .NET 安全各个关键方面,为您呈现最新、最全面的 .NET 安全知识,下面是公众号发布的精华文章集合,推荐大伙阅读!
20+专栏文章
海量资源和工具
专属成员交流群
已入驻的大咖们
欢迎加入我们
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...