Можно попытаться приклеить подпись чужую к файлу https://github.com/secretsquirrel/SigThief

giloo сказал(а):

Но делает он это с отображением окна (к примеру cmd.exe). Есть ли такое приложение, или особая техника для выполнения команды без различных окон?

Просто выполняйте запуск программы с параметром SW_HIDE для скрытия окна (через API - CreateProcess или ShellExecute). Но имейте ввиду, что это не универсальный вариант, не для любого приложения (но для cmd.exe сойдёт).

giloo сказал(а):

Всем привет! Вопрос достаточно деликатный для меня. Есть сплоит для поднятия прав в ОС. Он запускает исполняемый файл с возможностью передачи аргументов. Но делает он это с отображением окна (к примеру cmd.exe). Есть ли такое приложение, или особая техника для выполнения команды без различных окон?
Был у меня почти идеальный вариант - eventvwr.exe. Он мало того что выполнял тихонечко команду через реестр, да еще и права админки давал. К сожалению все попытки изменить его ветку реестра (hkcu\software\classes\mscfile\shell\open\commad\* evil) палятся авшками(( Поэтому он отпадает. Пробовала wscript, тоже не то. Скриптам не доверяют ав.
Сразу оговорюсь, пишу на шарпе. Могу собрать тихое приложение сама и дать ему на отработку все команды. Но я выбрала другой вектор атаки, а именно базирующийся на доверенных файлах. А ав не доверяют нонейм exeшкам и прочим скриптам.
Буду рада любым советам и идеям!) Спасибо всем заранее!




powershell.exe -noprofile -nologo -noninteractiv -w hidden file.exe

giloo сказал(а):

Не подходит, вы предлагаете написать новое приложение, а это новая хэш сумма :3


Эти API ведь можно использовать в VBScript, если мне память не подводит.

Могу предложить такой вариант - создаем file.vbs

Код:



Dim WShell
Set WShell = CreateObject("WScript.Shell")
WShell.Run "Programm.exe", 0
Set WShell = Nothing


Для запуска отдаем:
wscript ""path\to\your vbs file.vbs"

Код:



wscript "file.vbs"


в данном случае в VBS так же можно передать параметры

Код:



WShell.Run "Programm.exe /argument1 /argument2", 0



Последний параметр обязательно оставляем 0 - так как он и передает значение запуска в скрытом режиме.

Для подготовки к подобного рода векторам атаки, необходимо понять на чем вы палитесь -
1) On-access scan
2) In-memory scan
3) Traffic analyze - если поднимаете шелл

В серьезных корп АВ - если ИБшник не халтурничает и нет большого легаси, все эти пункты настроены и работают как надо.

1) Вам нужно простое, легальное и не большое приложение - не больше putty
2) Inject в приложение обфусцированно-криптованой нагрузкой - собирайте в памяти
3) Выполнение нагрузки.
Платный shellter в мануальном режиме в помощь

Описанный выше вариант поможет только от On-access scan и только в некоторых случаях от In-memory
Но опять же - все зависит от параметров in-memory scan.
Если там(на in-memory scan) обычная эвристика - указанный метод её обойдет.
Если вам противостоит маньяк-ИБшник который включил в АВ поведенческий анализ (такое есть к примеру у корп версий Касперского или например у корп версии TrendMicro), вряд ли вы что то сделаете. В таких случаях стоит работать в полях на уровне компрометации сетевых коннектов.
2е - даже если вы обманите на этапе сборки и эксплуатации вашей нагрузки АВ, не забывайте что если сплойт публичный - АВ его обнаружит без проблем.

P.S. и еще момент, если в сети стоит Cisco-firepower в нормальном настроенном виде, то компрометируем систему только локально. Соц-тех вектор.