一个有趣的横向移动技术POC代码

一个有趣的横向移动技术POC代码
2023-12-11 10:20:10 Author: 黑白之道(查看原文) 阅读量:17 收藏

项目简介

ServiceMove是一个有趣的横向移动技术的POC代码，通过滥用Windows感知模拟服务来实现DLL劫持代码执行（仅限Windows 10 1809或更高版本）。

每次启动“Windows感知模拟服务”时，都会加载一个不存在的DLL文件（即hid.dll）。通过在“C:\Windows\System32\PerceptionSimulation”中插入精心设计的DLL并远程启动服务，我们能够在远程系统中以“NT AUTHORITY\SYSTEM”的身份实现代码执行。

该技术的优点在于它相对隐蔽/OPSEC，因为它不像其他一般横向移动技术（例如，服务创建/修改、计划任务创建）那样具有典型的 IOC。它要做的只是将文件拖放到远程系统并远程启动服务。

工具使用

===General use===  Command: bof-servicemove target /root/hid.dll  
===Force mode===  Description: restart the service if the service is already running  Command: bof-servicemove target /root/hid.dll force
===Cleanup mode===  Description: stop the service if running and delete the DLL payload file  Command: bof-servicemove target cleanup

GIF动图演示：

Lazarus组织曾在一次攻击活动中也使用过ServiceMove这种横向移动技术：通过DeathNote活动发现的Lazarus组织的最新攻击趋势。

参考及来源：https://securelist.com/the-lazarus-group-deathnote-campaign/109490/

下载地址

https://github.com/netero1010/ServiceMove-BOF

文章来源：Hack分享吧

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END

文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650583548&idx=4&sn=fb4186a18c613a0bd1bfa56c550531e8&chksm=83bdd418b4ca5d0eccec02a3cb121bcf7d10aefc1e21398f7a753a6ce763fa3fe5d7a38e2f6c&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh