سری مقالات امن سازی سیستم عامل ویندوز
به صورت خلاصه عرض میکم
یکی از امکانات جالبی Ú©Ù‡ ویندوز در ویندوز وجود دارد این است Ú©Ù‡ وقتی Ú©Ù‡ یک Ùایلی را اجرا میکنیم همزمان با اجرا شدن اون Ùایل یک Ùایل Exe دیگری هم اجرا شود .
این کار بیشتر در برنامه ویژوال استدیو برای اجرای یک Ùایل دیگر به کار برده میشه اما خوب Ùکر کنم وظیÙÙ‡ ÛŒ ما به عنوان یک Ù…Øقق امنیت سیستم عامل ویندوز بررسی آسیب پذیری های این سیستم عامل هست
بسیاری از ویروس نویسان Ùˆ هکر ها سو استÙاده های جالبی Ù…ÛŒ توانند از این امکان بکنند .
اما چونگی انجام این کار
می توانید به مسیر زیر در رجیستری بروید .
در این مسیر شما لیستی از Ùایل های اجرایی مختل٠را Ù…ÛŒ بینید . اینجا من میام برنامه ای رو با نام مثلا notepad.exe را پیدا Ù…ÛŒ کنم Ùˆ Ù…ÛŒ خوام هرکسی Ú©Ù‡ Ù…ÛŒ خواد یک Ùایل txt رو باز کرد به جای برنامه ÛŒ notepad برنامه ÛŒ CMD.exe اجرا بشه
خوب میام مراØÙ„ زیر رو اجرا میکنم
1 - یک زیر کلید با نام notepad.exe در این مسیر می سازم
2 – مقدار Debugger را از نوع REG_SZ می سازم
3 – آدرس Ùایلی Ú©Ù‡ Ù…ÛŒ خوام اجرا بشه به جای notepad.exe را در آن میندازم .
4 – یک Ùایل txt Ùˆ یا برنامه ÛŒ notepad را اجرا میکنم
5 – سلامتی شما
Ù…ÛŒ بینید Ú©Ù‡ اینجا به جای Ùایل notepad.exe برنامه ÛŒ CMD.exe اجرا میشه
خوب Øالا هکر ها Ú†Ù‡ سو استÙاده هایی از اون Ù…ÛŒ کنند ØŸ
یک هکر Ù…ÛŒ تونه به جای Startup کردن برنامه ÛŒ خودش از اون استÙاده کنه یعنی میگه هر وقت Ùایل notepad یا هرچی اجرا شد تو بیا Trojan.exe رو اجرا Ú©Ù†
به مانند تروجان زیر http://blogs.mcafee.com/mcafee-labs/...cution-options
ما Ù…ÛŒ تونیم به جای Ùایل cmd.exe هر Ùایل دیگه ای رو هم بنویسیم مثلا BAd File.exe
یا مثلا اینجا
http://about-threats.trendmicro.com/...ROJ_INJECT.SMI
اومدن به جای Ùایل Explorer.exe Ùایل malware خودشون رو اجرا کردن Øالا بسته به هوش Ùرد مثلا وقتی کسی میاد تروجان خودش رو به جای Explorer اجرا میکنه یعنی اینکه از همون اول ویندوز Ú©Ù‡ Ùایل Explorer.exe اجرا میشه جلوش رو بگیر ( پس دسکتاپ Ùˆ ایکون هاش اجرا نمیشه ) Ùˆ بعد تروجان خودم رو اجرا Ú©Ù† Ùˆ سپس بیا دوباره مقدار debugger رو ØØØ°Ù Ú©Ù† Ùˆ Explorer.exe رو اجرا Ú©Ù†
خوب این کار باعث میشه Ú©Ù‡ Øتی اگه Ùایل تروجان تغییراتی رو در رجیستری ویندوز بده با Ùعال کردن Ùایل Explorer تغییرات تثبیت بشه Ùˆ نیازی به logoff یا راه اندازی دوباره نباشه
و نمونه های دیگه
http://www.pandasecurity.com/homeuse...on/AKStealer.A
http://www.eset.com/us/threat-center...win32agentksq/
http://www.symantec.com/security_res...050-99&tabid=2
Ùˆ ...
یک قدم به جلوتر
Øالا من Ú©Ù‡ از این امکان خبر دارم میام Ù…ÛŒ خوام شروع به Ù‡Ú© سیستم عامل ویندوز کنم البته در دسترسی لوکال
اینجا Ù…ÛŒ دونم Ú©Ù‡ یک سری Ùایل داریم Ú©Ù‡ در Welcom screen هم اجرا Ù…ÛŒ شن یعنی Ùایل های Exe خوب میام جایگزین Ù…ÛŒ کنم
در زیر این Ùایل ها در قسمت welcome screen اجرا Ù…ÛŒ شن
Ùˆ اینو Ù…ÛŒ دونید Ú©Ù‡ هر Ùایلی Ú©Ù‡ در Welcom screen اجرا بشه دارای دسترسی authority\system هست Ùˆ اینم Ù…ÛŒ دونیم Ú©Ù‡ هر Ùایلی هم از طریق یک Ùایل دیگه اجرا بشه اونم دارای همین Ø³Ø·Ø Ø¯Ø³ØªØ±Ø³ÛŒ هست
پس میایم یک کلید با نام OSK.exe در این مسیر از رجیستری می سازیم و بعد مقدار Debugger از نوع REG_SZ
Øالا من اگه از اسکریپت نویسی در ویندوز استÙاده کنم Ù…ÛŒ تونیم از کد های زیر این کار رو انجام بدیم
یا اینکه می تونیم از همان دستور REG از طریق CMD این کار را انجام بدیم
کاÙیه در Ùایل BAT ذخیره بشه Ùˆ بعد اجرا کنید .
Øالا سیستم رو restart یا logoff Ù…ÛŒ کنیم Ùˆ در صعØÙ‡ ÛŒ خوش آمد گویی Ùایل OSK.exe Ú©Ù‡ همان کیبورد مجازی ویندوز هست را اجرا Ù…ÛŒ کنیم Ùˆ میبینیم Ú©Ù‡ به جای اون Ùایل cmd.exe اجرا شده Ùˆ اینجا ما میتونیم بیایم با استÙاده از Ùرمان های زیر پسورد Øساب کاربری Ú©Ù‡ Ù…ÛŒ خواهیم رو ØØ°Ù Ùˆ یا تغییر بدیم
یک قدم به جلوتر می رویم
UAC ویندوز را Ùعال میکنیم Ùˆ پسورد روی اون میزاریم
Øالا دوباره logoff میکنیم Ùˆ OSK.exe را اجرا میکنیم تا CMD.exe اجرا بشه Ùˆ بعد ان را نمی بندیم Ùˆ میریم داخل ویندوز Ùˆ login میکنیم به Øساب کاربری
Ùˆ اینجا مثلا در Run Ùایل Secpol.msc را اجرا میکنیم Ùˆ میبینیم Ú©Ù‡ UAC ویندوز از ما پسورد Ù…ÛŒ خواد ولی اینجا وقتی Ú©Ù‡ ALT + Tab رو بزنیم Ù…ÛŒ بینیم Ú©Ù‡ Ùایل UAC هم اجرا شده خوب میایم اونجا اون قسمتی Ú©Ù‡ Ù…ÛŒ خوایم باز کنیم رو Ù…ÛŒ زنیم دیگه UAC ویندوز جلوشون میگیره
Ùˆ اصطلاØا Bypass میشه UAC
Øالا Ù…ÛŒ خوایم علاوه بر اینکه BYPASS کردیم اون رو هم غیر Ùعال کنیم کلا
میایم رجیستری ویندوز رو از طریق CMD.exe باز میکنیم ( همون cmd )
و بعد داخل مسیر زیر میشیم
در اینجا 2 مقدار وجود داره به اسم های
اون 2 تا رو Øذ٠میکنیم Ùˆ بعد UAC Ú©Ù‡ همین جوری باز هست رو Ù…ÛŒ بندیم Ùˆ دوباره مقدار Secpol.msc رو باز میکنیم Ùˆ میبینیم Ú©Ù‡ دیگه UAC Ùعال نیست
روش مقابله :
نگران نباشید هنوز جای کار زیاد داره که نشه با این مورد مقابله کرد
UAC رو Ùعال کنید Ùˆ مقدار اون رو به آخرین Øدش برسونید Ùˆ مقدارم ConsentPromptBehaviorAdmin از نوع Dword را در مسیر
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\System بسازید و بعد مقدار اون رو برابر 3 قرار دهید
Ùˆ یک پسورد خوب بر روس Øساب کاربری خودتون قرار بدید Ùˆ ویندوز رو اپدیت کنید
اینجوری کسی اگه بخواد بره داخل رجیستری و اون تغییرات رو اعمال کنه ازش پسورد می خواد پس نمی تونه کاری کنه
لازم به ذکره Ú©Ù‡ بیشتر از این نمی خوام در مورد شکستن UAC Ùˆ bypass اون Øر٠بزنم ولی تا اینجایی Ú©Ù‡ Ú¯Ùتم کسی سوال داره بپرسه بررسی اسیب پذیری Image File Execution
به صورت خلاصه عرض میکم
یکی از امکانات جالبی Ú©Ù‡ ویندوز در ویندوز وجود دارد این است Ú©Ù‡ وقتی Ú©Ù‡ یک Ùایلی را اجرا میکنیم همزمان با اجرا شدن اون Ùایل یک Ùایل Exe دیگری هم اجرا شود .
این کار بیشتر در برنامه ویژوال استدیو برای اجرای یک Ùایل دیگر به کار برده میشه اما خوب Ùکر کنم وظیÙÙ‡ ÛŒ ما به عنوان یک Ù…Øقق امنیت سیستم عامل ویندوز بررسی آسیب پذیری های این سیستم عامل هست
بسیاری از ویروس نویسان Ùˆ هکر ها سو استÙاده های جالبی Ù…ÛŒ توانند از این امکان بکنند .
اما چونگی انجام این کار
می توانید به مسیر زیر در رجیستری بروید .
کد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
خوب میام مراØÙ„ زیر رو اجرا میکنم
1 - یک زیر کلید با نام notepad.exe در این مسیر می سازم
2 – مقدار Debugger را از نوع REG_SZ می سازم
3 – آدرس Ùایلی Ú©Ù‡ Ù…ÛŒ خوام اجرا بشه به جای notepad.exe را در آن میندازم .
4 – یک Ùایل txt Ùˆ یا برنامه ÛŒ notepad را اجرا میکنم
5 – سلامتی شما
Ù…ÛŒ بینید Ú©Ù‡ اینجا به جای Ùایل notepad.exe برنامه ÛŒ CMD.exe اجرا میشه
خوب Øالا هکر ها Ú†Ù‡ سو استÙاده هایی از اون Ù…ÛŒ کنند ØŸ
یک هکر Ù…ÛŒ تونه به جای Startup کردن برنامه ÛŒ خودش از اون استÙاده کنه یعنی میگه هر وقت Ùایل notepad یا هرچی اجرا شد تو بیا Trojan.exe رو اجرا Ú©Ù†
به مانند تروجان زیر http://blogs.mcafee.com/mcafee-labs/...cution-options
ما Ù…ÛŒ تونیم به جای Ùایل cmd.exe هر Ùایل دیگه ای رو هم بنویسیم مثلا BAd File.exe
یا مثلا اینجا
http://about-threats.trendmicro.com/...ROJ_INJECT.SMI
اومدن به جای Ùایل Explorer.exe Ùایل malware خودشون رو اجرا کردن Øالا بسته به هوش Ùرد مثلا وقتی کسی میاد تروجان خودش رو به جای Explorer اجرا میکنه یعنی اینکه از همون اول ویندوز Ú©Ù‡ Ùایل Explorer.exe اجرا میشه جلوش رو بگیر ( پس دسکتاپ Ùˆ ایکون هاش اجرا نمیشه ) Ùˆ بعد تروجان خودم رو اجرا Ú©Ù† Ùˆ سپس بیا دوباره مقدار debugger رو ØØØ°Ù Ú©Ù† Ùˆ Explorer.exe رو اجرا Ú©Ù†
خوب این کار باعث میشه Ú©Ù‡ Øتی اگه Ùایل تروجان تغییراتی رو در رجیستری ویندوز بده با Ùعال کردن Ùایل Explorer تغییرات تثبیت بشه Ùˆ نیازی به logoff یا راه اندازی دوباره نباشه
و نمونه های دیگه
http://www.pandasecurity.com/homeuse...on/AKStealer.A
http://www.eset.com/us/threat-center...win32agentksq/
http://www.symantec.com/security_res...050-99&tabid=2
Ùˆ ...
یک قدم به جلوتر
Øالا من Ú©Ù‡ از این امکان خبر دارم میام Ù…ÛŒ خوام شروع به Ù‡Ú© سیستم عامل ویندوز کنم البته در دسترسی لوکال
اینجا Ù…ÛŒ دونم Ú©Ù‡ یک سری Ùایل داریم Ú©Ù‡ در Welcom screen هم اجرا Ù…ÛŒ شن یعنی Ùایل های Exe خوب میام جایگزین Ù…ÛŒ کنم
در زیر این Ùایل ها در قسمت welcome screen اجرا Ù…ÛŒ شن
کد:
Displayswitch.exe – sethc.exe – narrattor.exe – magnify.exe – OSK.exe - utilman.exe
Ùˆ اینو Ù…ÛŒ دونید Ú©Ù‡ هر Ùایلی Ú©Ù‡ در Welcom screen اجرا بشه دارای دسترسی authority\system هست Ùˆ اینم Ù…ÛŒ دونیم Ú©Ù‡ هر Ùایلی هم از طریق یک Ùایل دیگه اجرا بشه اونم دارای همین Ø³Ø·Ø Ø¯Ø³ØªØ±Ø³ÛŒ هست
پس میایم یک کلید با نام OSK.exe در این مسیر از رجیستری می سازیم و بعد مقدار Debugger از نوع REG_SZ
Øالا من اگه از اسکریپت نویسی در ویندوز استÙاده کنم Ù…ÛŒ تونیم از کد های زیر این کار رو انجام بدیم
کد:
'baraye sakhtane key dar kelide registry Const HKEY_LOCAL_MACHINE = &H80000002 strComputer = "." Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _ strComputer & "\root\default:StdRegProv") strKeyPath = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSK.exe" oReg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath '------------------------------------ ' sakhtane ye value ba name debugger va meghdar an = addresse CMD.exe Const HKEY_LOCAL_MACHINE = &H80000002 strComputer = "." Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _ strComputer & "\root\default:StdRegProv") strKeyPath = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSK.exe" strValueName = "Debugger" strValue = "C:\windows\system32\cmd.exe" oReg.SetStringValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,strValue '---------------------
یا اینکه می تونیم از همان دستور REG از طریق CMD این کار را انجام بدیم
کد:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OSK.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe"
Øالا سیستم رو restart یا logoff Ù…ÛŒ کنیم Ùˆ در صعØÙ‡ ÛŒ خوش آمد گویی Ùایل OSK.exe Ú©Ù‡ همان کیبورد مجازی ویندوز هست را اجرا Ù…ÛŒ کنیم Ùˆ میبینیم Ú©Ù‡ به جای اون Ùایل cmd.exe اجرا شده Ùˆ اینجا ما میتونیم بیایم با استÙاده از Ùرمان های زیر پسورد Øساب کاربری Ú©Ù‡ Ù…ÛŒ خواهیم رو ØØ°Ù Ùˆ یا تغییر بدیم
کد:
Net user "username" "password"
یک قدم به جلوتر می رویم
UAC ویندوز را Ùعال میکنیم Ùˆ پسورد روی اون میزاریم
Øالا دوباره logoff میکنیم Ùˆ OSK.exe را اجرا میکنیم تا CMD.exe اجرا بشه Ùˆ بعد ان را نمی بندیم Ùˆ میریم داخل ویندوز Ùˆ login میکنیم به Øساب کاربری
Ùˆ اینجا مثلا در Run Ùایل Secpol.msc را اجرا میکنیم Ùˆ میبینیم Ú©Ù‡ UAC ویندوز از ما پسورد Ù…ÛŒ خواد ولی اینجا وقتی Ú©Ù‡ ALT + Tab رو بزنیم Ù…ÛŒ بینیم Ú©Ù‡ Ùایل UAC هم اجرا شده خوب میایم اونجا اون قسمتی Ú©Ù‡ Ù…ÛŒ خوایم باز کنیم رو Ù…ÛŒ زنیم دیگه UAC ویندوز جلوشون میگیره
Ùˆ اصطلاØا Bypass میشه UAC
Øالا Ù…ÛŒ خوایم علاوه بر اینکه BYPASS کردیم اون رو هم غیر Ùعال کنیم کلا
میایم رجیستری ویندوز رو از طریق CMD.exe باز میکنیم ( همون cmd )
و بعد داخل مسیر زیر میشیم
کد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
در اینجا 2 مقدار وجود داره به اسم های
کد:
EnableLUA ConsentPromptBehaviorAdmin
اون 2 تا رو Øذ٠میکنیم Ùˆ بعد UAC Ú©Ù‡ همین جوری باز هست رو Ù…ÛŒ بندیم Ùˆ دوباره مقدار Secpol.msc رو باز میکنیم Ùˆ میبینیم Ú©Ù‡ دیگه UAC Ùعال نیست
روش مقابله :
نگران نباشید هنوز جای کار زیاد داره که نشه با این مورد مقابله کرد
UAC رو Ùعال کنید Ùˆ مقدار اون رو به آخرین Øدش برسونید Ùˆ مقدارم ConsentPromptBehaviorAdmin از نوع Dword را در مسیر
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\System بسازید و بعد مقدار اون رو برابر 3 قرار دهید
Ùˆ یک پسورد خوب بر روس Øساب کاربری خودتون قرار بدید Ùˆ ویندوز رو اپدیت کنید
اینجوری کسی اگه بخواد بره داخل رجیستری و اون تغییرات رو اعمال کنه ازش پسورد می خواد پس نمی تونه کاری کنه
لازم به ذکره Ú©Ù‡ بیشتر از این نمی خوام در مورد شکستن UAC Ùˆ bypass اون Øر٠بزنم ولی تا اینجایی Ú©Ù‡ Ú¯Ùتم کسی سوال داره بپرسه بررسی اسیب پذیری Image File Execution
Comment