现在WIN7操作系统以经大量普及,UAC的安全机制以成为渗透过程中最为明显的绊脚石,UAC会使大量渗透工具失效,木马无法运行,如何突破UAC的层层防护是一直以来研究的重点。
在9月24日亚洲知名安全技术峰会SyScan上,Instruder做了《深入思考UAC背后的安全问题》演讲,据其提供的方法在当前用户权限下,绕过UAC提示直接运行程序,并可以实现修改启动项,释放文件到系统目录等功能,而这一过程必须在用户没有任意察觉的情况下完成。
Instruder突破安全防范方法
与传统方法也有类似之处,议题作者Instruder采用的方法也是白名单的方法但又有不同之处,颇为巧妙,作者使用的方法为利用操作系统自己的升级程序WUSA.EXE,读取释放文件,这个过程是不会触发UAC的,利用这个机制可以轻松突破UAC限制,下面我们一步一步演示实现,首先把wusa.exe找出来,此文件位于 c:\windows\syswow64目录。
WUSA
找到这个文件后,运行一下,看一下它的具体使用方法。
独立安装程序
找到WUSA.EXE后我们还要找一个 MSU的文件用来做测试用,我从自己电脑中随便搜索一些MSU文件出来。
MSU
到目前为至准备工具基本就需了,我们来做实验,使用WUSA.EXE把一个MSU文件释放一下,看能否成功,实验方法如下,复制一个MSU文件到D:\TEMP目录,然后在CMD下切换目录到c:\windows\syswow64,最后运行wusa.exe d:\temp\msu.msu /extract:d:\temp 这时看到一个很快的进度一闪而过,我比较愚钝没能抓下图来,去D:\TEMP目录看一下是什么情况。
目录
可以看出文件以成功释放,这样很好,下一步继续实验,把释放目录修改一下,直接释放到系统目录WINDOWS下,看会如何表现,执行wusa.exe d:\temp\msu.msu /extract:c:\windows
