干货 | 如何绕过微软Decvice Guard执行任意代码?

信息安全 3750 Views

前言

在Windows 10 Enterprise和Server 2016引入的新功能Decvice Guard是一种白名单机制,可用来阻止未授权的代码执行。

简单的理解,只要是不包含微软数字签名的程序,均无法用来执行代码。

然而,如果能够找到带有微软签名的程序,那么就能绕过Decvice Guard对应用程序的拦截,实现代码执行。

目前已知的方法有:

1、WinDbg/CDB

可用来执行shell code

作者:Matt Graeber@mattifestation

地址:http://www.exploit-monday.com/2016/08/windbg-cdb-shellcode-runner.html

2、CSI.exe

可用来执行c#代码

作者:Casey Smith@subTee

地址:https://twitter.com/subTee/status/796737674954608641

3、dnx.exe

可用来执行c#代码

作者:Matt Nelson@enigma0x3

地址:https://enigma0x3.net/2016/11/17/bypassing-application-whitelisting-by-using-dnx-exe/

4、rcsi.exe

可用来执行c#代码

作者:Matt Nelson@enigma0x3

地址:https://enigma0x3.net/2016/11/21/bypassing-application-whitelisting-by-using-rcsi-exe/

简介

Matt Nelson@enigma0x3在最近分享了他绕过Decvice Guard的两种方法,这是继Matt Graeber@mattifestation和Casey Smith@subTee后的第三和第四种绕过方法,本文将重现这两个过程,完成他留给读者的两个作业,优化dnx.exe的环境搭建步骤,分享学习心得。

dnx.exe

dnx.exe内置于.NET Execution environment,包含数字签名,可用来执行c#代码

首先搭建dnx.exe的使用环境

参考资料:

Step-by-step installation instructions for getting DNX on your Windows machine

资料显示需要powershell v4.0和安装Visual C++ 2013 redistributable package,实际测试”print helloworld”并不需要这些条件,同时配置步骤也可以简化,以下为简化的配置步骤:

测试系统:Win8 x86

1、下载并安装Microsoft .NET Framework 4.5.2:

下载地址:

https://www.microsoft.com/zh-CN/download/confirmation.aspx?id=42643

2、安装DNVM

cmd:

powershell -NoProfile -ExecutionPolicy unrestricted -Command “&{$Branch=’’’dev’;iex ((new-object net.webclient).DownloadString(‘https://raw.githubusercontent.com/aspnet/Home/dev/dnvminstall.ps1’))}”

如图

3、安装DNX

打开新的cmd

cmd:

dnvm list

输入y,安装dnx

如图

cmd:

dnvm install latest -Unstable -Persistent

cmd:

dnx

将会看到dnx的操作说明

如图

4、更新DNX和DNVM bits

cmd:

dnvm upgrade dnvm update-self

如图

5、配置Package

新建文件夹test

cmd:

cd c:test dnu restore -s https://www.myget.org/F/aspnetvnext

如图

注:

在C:WindowsSystem32直接输入dnu restore -s https://www.myget.org/F/aspnetvnext会报错,如图

6、添加脚本文件

新建文件Program.cs,内容如下:

using System; public class Program {     public static void Main()     {         Console.WriteLine("Hello World");     } }

注:

class名必须为Program,否则报错

新建文件project.json,内容如下:

{     "dependencies":{     },     "commands":{         "test":"test"     },     "frameworks":{         "dnx451":{},         "dnxcore50":{             "dependencies":{                 "System.Console":"4.0.0-beta-*"             }         }     } }

注:

project.json中”commands”内的”test”需要同文件夹名称test对应

注:

中文系统的浏览器复制https://blogs.msdn.microsoft.com/sujitdmello/2015/04/23/step-by-step-installation-instructions-for-getting-dnx-on-your-windows-machine/中的示例代码为unicode格式,直接使用会报错,如图

需要将其中的Unicode字符转化

7、测试脚本

cmd:

dnu restore

如图

cmd:

dnx test

如图

注:

如果仅测试上述代码,只需完成步骤3即可

8、Win10 Device Guard测试

dnx.exe测试成功后,接下来需要找到dnx.exe在Win10上使用需要包含哪些支持文件,最直观的方法可借助于ProcessMonitor

使用ProcessMonitor获取dnx.exe在运行时的操作,如图

找到关键目录:

经实际测试,在Win10上使用,只需要该目录下的部分文件,大小为7.44MB

注:

这是Matt Nelson@enigma0x3留给读者的作业

文件列表如下:

vcruntime140.dll(也可忽略,但会报错,不影响代码执行)

该目录下的这些文件不需要:

如图,由于dnx.exe包含微软的签名证书,所以在Device Guard UMCI(user mode code integrity)开启的环境中仍具有执行权限

绕过成功

rcsi.exe

rcsi.exe内置于Microsoft “Roslyn” CTP中,包含微软数字签名

Microsoft “Roslyn” CTP下载地址: https://www.microsoft.com/en-us/download/details.aspx?id=34685&tduid=(24d3dfde6075d394de05e49e871fa656)(256380)(2459594)(TnL5HPStwNw-qGm27mnsJb9VbqZPmTLajQ)()

安装前提:

1、实际测试

测试系统:Win8.1 x86 安装Visual Studio 2012、VS2012 SDK、Microsoft “Roslyn” CTP

2、执行代码

rcsi.exe的路径为:

新建文件test.csx,内容如下:

using System; Console.WriteLine("Hello World"); Console.ReadLine();

cmd:

"C:Program FilesMicrosoft Roslyn CTPBinariesrcsi.exe" test.csx

如图,成功执行C#代码

rcsi.exe同csi.exe类似,可以用来执行c#代码,不同点在于csi.exe支持交互,而rcsi.exe不能

如图

3、Win10 Device Guard测试

rcsi.exe在Win10上运行同样需要支持文件 同样使用ProcessMonitor获取rcsi.exe在运行时的操作,如图

找到rcsi.exe需要的支持文件如下:

注:

这也是Matt Nelson@enigma0x3留给读者的作业

在Win10下测试成功,如图

防御

参照Matt Graeber的方法,更新Device Guard Bypass MitigationRules,可分别拦截利用WinDbg/CDB、csi.exe、dnx.exe和rcsi.exe的代码执行

参考地址如下:

http://www.exploit-monday.com/2016/09/using-device-guard-to-mitigate-against.html

小结

本文对dnx.exe和rcsi.exe的利用方法做了介绍,截至目前共有四种绕过Device Guard的方法,相信未来会有更多的方法被发现,与此同时,防御手段也需要随之升级。

注:本文为3gstudent原创稿件,授权嘶吼独家发布,未经许可机制转载

如未说明则本站原创,转载请注明出处:NULL » 干货 | 如何绕过微软Decvice Guard执行任意代码?