常见的几种Windows后门持久化方式(2)

在Meterpreter下可以运行run metsvc将会在目标主机上以Meterpreter的服务的形式注册在服务列表中，并开机自动自动：

Windows服务端服务注册成功：

dll劫持

如果在进程尝试加载一个DLL时没有指定DLL的绝对路径，那么Windows会尝试去指定的目录下查找这个DLL;如果攻击者能够控制其中的某一 个目录，并且放一个恶意的DLL文件到这个目录下，这个恶意的DLL便会被进程所加载，从而造成代码执行。

比较常用的如LPK.dll的劫持：

win7及win7以上系统增加了KnownDLLs保护，需要在注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\ExcludeFromKnownDlls 

下添加 “lpk.dll” 才能顺利劫持：

另外一种思路是通过查看被劫持的DLL的导出函数表，编程实现劫持DLL向原DLL的导出函数的转发，并加入你的恶意代码达到一个劫持的效果。

COM劫持

主要通过修改CLSID下的注册表键值，实现对CAccPropServicesClass和MMDeviceEnumerator劫持，而系统很多正常程序启动时需要调用这两个实例，所以，这就可以用作后门来使用，并且，该方法也能够绕过Autoruns对启动项的检测。

传送门如下：

https://www.gdatasoftware.com/blog/2014/10/23941-com-object-hijacking-the-discreet-way-of-persistence

Powershell版本的poc：https://github.com/3gstudent/COM-Object-hijacking

Bootkit

MBR后门主要的思路是读取主引导记录和把分区表从主引导记录中复制出来。然后把自己的包含恶意二进制数据的主引导记录放到主引导扇区，并复制新的分区表到它。但是，并非只有分区表需要保留，还有原来的主引导记录也需要保存下来，MBR病毒复制原始主引导记录到其它64个未用到的扇区。到MBR病毒执行完自己的操作后在读取原始的主引导记录并跳到0x7c00处执行来引导开机。目前比较流行的比如暗云木马系列：

详细可参考腾讯的研究报告： https://slab.qq.com/news/tech/1308.html

通过PCHunter也能够进行简单的MBR的异常判断，此类后门往往具有较大的实施难度病毒种类往往也较少。

总结

Windows环境的持久化还有更多霸气侧漏的姿势没有遇见总结到，相对于之前建立隐藏账户、网站跟目录下的webshell、一个后门的exe程序、定时任务这些手法一些更新的手法显得更加隐蔽与难以查杀，希望能给日常背锅的运维、安全应急、开发大佬与首席道歉师在客户现场搞的焦头烂额时候提供一些排查思路吧。

【编辑推荐】

1. 70%的公开漏洞出自3家供应商
2. WinRAR被曝严重安全漏洞 5亿用户受影响
3. 警告：WinRAR关键漏洞影响过去19年发布的所有版本
4. 4G/5G再曝新漏洞 攻击者可拦截电话和追踪用户位置
5. 5G落地不能急 三个4G/5G新漏洞被曝出

（编辑：ASP站长网）