COM Hijacking
存在しないCOMコンポーネントの検索
HKCUの値はユーザーによって変更される可能性があるため、COM Hijacking は 永続的なメカニズム として使用できます。procmon
を使用すると、存在しない検索されたCOMレジストリを見つけることが簡単で、攻撃者が永続化するために作成できるものです。フィルター:
RegOpenKey 操作。
Result が NAME NOT FOUND である場所。
および Path が InprocServer32 で終わる場合。
存在しないCOMを偽装することを決定したら、次のコマンドを実行してください。数秒ごとにロードされるCOMを偽装することを決定した場合は注意してください。
Hijackable Task Scheduler COM components
Windows Tasks use Custom Triggers to call COM objects and because they're executed through the Task Scheduler, it's easier to predict when they're gonna be triggered.
Checking the output you can select one that is going to be executed every time a user logs in for example.
Now searching for the CLSID {1936ED8A-BD93-3213-E325-F38D112938EF} in HKEY_CLASSES_ROOT\CLSID and in HKLM and HKCU, you usually will find that the value doesn't exist in HKCU.
その後、HKCUエントリを作成するだけで、ユーザーがログインするたびにあなたのバックドアが起動します。
Last updated