Halo, hari ini kita akan berbicara tentang teknik bypass Applocker di lingkungan Windows. Apa itu Applocker, bagaimana cara melindungi sistem, dan yang lebih penting, bagaimana melewati fitur keamanan ini. Begitu banyak masalah yang harus ditangani dalam artikel ini!
Table of Contents
Apa itu Applocker?
Applocker adalah alat daftar putih perangkat lunak yang diperkenalkan oleh Microsoft mulai dari Windows Vista / Seven / 2008 untuk membatasi pengguna standar agar hanya menjalankan aplikasi tertentu pada sistem. misalnya: “Alice dapat menjalankan explorer.exe, Bob, bagaimanapun, tidak bisa!”
Jika Anda melakukan tes penetrasi, Anda mungkin akan menemukan Applocker pada mesin yang sangat sensitif: komputer industri, ATM, workstation bisnis, dll.
Bagaimana cara kerjanya?
Untuk mengaktifkan Applocker di mesin pengujian Anda, mulai Identitas Aplikasi layanan (Alat Administratif -> Layanan), lalu buka Editor Kebijakan Grup (gpedit.msc di mesin lokal atau gpmc.msc pada pengontrol domain). Jelajahi “Kebijakan Kontrol Aplikasi” di “Pengaturan Keamanan”:
Klik “Configure Rule Enforcement” untuk memilih jenis pemfilteran yang akan dilakukan. Seperti yang Anda lihat, Applocker mencakup lima jenis aplikasi:
- Ini adalah aplikasi reguler .exe dan .com (cmd.exe, ipconfig.exe, dll.)
- File Penginstal Windows (.msi, .msp, .mst), biasanya digunakan untuk menginstal perangkat lunak baru pada mesin.
- File skrip dengan ekstensi berikut .ps1, .vbs, .vba, .cmd dan .js.
- Aplikasi yang Dikemas diinstal melalui Microsoft Store
- File DLL (.dll dan .ocx di tab lanjutan).
Dalam tutorial ini, kita hanya akan berbicara tentang batasan yang paling umum diterapkan di lingkungan dunia nyata yaitu aturan tentang executable, installer, dan skrip.
Untuk masing-masing dari lima kategori yang disebutkan di atas, kita dapat menetapkan aturan yang mengatur penggunaannya berdasarkan tiga kriteria:
- Jalur eksekusi: misalnya, aturan Applocker default mengizinkan semua yang dapat dieksekusi dan skrip ada di “C: Windows“Dan”C: Program Files“. Ini harus dilakukan – setidaknya untuk beberapa program – jika tidak, sistem akan mengalami masalah saat boot.
- Informasi penerbit: beberapa executable (binari Windows misalnya) ditandatangani menggunakan kunci publik vendor. Applocker dapat mengandalkan informasi ini untuk menolak / mengizinkan executable untuk dijalankan. Fitur ini jarang digunakan.
- Hash file: Applocker menyimpan hash MD5 dari file yang diizinkan (atau terlarang). Setiap kali program berjalan, Applocker memeriksa MD5-nya dan memutuskannya. Aturan ini dapat menghabiskan banyak memori, sehingga sebagian besar digunakan untuk melarang beberapa file executable “berbahaya”.
Ini mungkin tampak seperti banyak tombol yang perlu diubah. Ini. Konfigurasi Applocker bukan untuk menjadi lemah hati. Untuk membuat tutorial ini paling menarik, kami akan mulai dengan konfigurasi dasar dan memperkuatnya saat kami meningkatkan keterampilan peretasan kami. Ayo mulai!
Pengaturan Naif
Katakanlah admin hanya menyiapkan aturan Applocker default: tidak ada pengguna standar yang diizinkan untuk menjalankan file (dapat dieksekusi, installer atau skrip) di luar “klasik”C: Windows“Dan”C: Program file“. Bagaimana cara menjalankan say a meterpreter.exe pada mesin dengan akun standar yaitu tidak ada hak admin di kotak?
Salah satu cara untuk pergi adalah mencari folder default yang diizinkan dengan akses tulis. Idenya adalah menyalin file yang dapat dieksekusi ke folder yang diizinkan, lalu meluncurkannya dari sana. Lurus ke depan. Melakukannya secara manual dapat memakan sedikit waktu, jadi bagaimana dengan otomatis Skrip PowerShell?
Pembatasan jalur eksekusi juga berlaku untuk skrip dalam kasus ini, jadi kita perlu berhati-hati tentang ini. Pertama, kami memuat konten skrip menggunakan Dapatkan-Konten perintah, ubah menjadi string lalu teruskan ke Invoke-Expression perintah yang menjalankannya, tidak ada pertanyaan yang diajukan!
Pada penginstalan Windows default, “C: Windows Tasks“Dan”C: Windows tracing”Biasanya muncul sebagai dapat ditulis oleh semua orang! Menyalin file yang dapat dieksekusi (mimikatz.exe, meterpreter.exe, dll.) Di sana misalnya melewati penguncian Applocker default:
Orang mungkin berpendapat, dengan benar, bahwa file .exe dinilai terlalu tinggi dan bahwa kita dapat melakukan semua serangan dengan alat Windows asli yang paling kuat PowerShell. Itu sangat benar dan dengan menggunakan Invoke-Expression kami melewati batasan jalur eksekusi apa pun. Namun, ada beberapa kasus ketika kita perlu menjalankan file exe sederhana karena sesederhana itu: malware yang dikompilasi ulang, alat khusus, dll.
Jika kami tidak dapat menemukan direktori yang dapat ditulis yang diizinkan di Applocker, kami perlu menggunakan cara lain untuk menjalankan file yang dapat dieksekusi. Salah satu metode tersebut adalah memuat file .exe ke dalam memori, lalu meluncurkannya dengan melompat ke titik masuknya. Tidak ada jalur eksekusi, tidak ada aturan Applocker yang dipicu!
Kami pertama-tama menyimpan executable, mimikatz.exe dalam kasus ini, dalam variabel PowerShell:
PS > $ByteArray = [System.IO.File]::ReadAllBytes("C:usersricharddesktopmimikatz.exe");Kemudian gunakan Invoke-ReflectivePEInjection fungsi dari Kerangka PowerSploit untuk memuatnya ke dalam memori dan melompat ke titik masuknya.
PS > Invoke-expression(Get-Content .Invoke-ReflectivePEInjection.ps1 |out-string)PS > Invoke-ReflectivePEInjection -PEBytes $ByteArray
Dengan demikian, kami dapat secara efektif melewati aturan Applocker berdasarkan jalur Eksekusi.
Mengencangkan pegangan
Admin cerdas kami tahu bahwa konfigurasinya memiliki beberapa lubang. Dia mengencangkan cengkeraman sedikit lebih jauh dengan membatasi akses ke alat Microsoft dasar seperti cmd.exe dan PowerShell.exe.
Kami tidak dapat menggunakan skrip kustom (skrip .cmd, .js atau .vbs) untuk mengeksekusi kode karena hanya diizinkan untuk dijalankan dari folder terbatas (aturan sebelumnya). Tapi, ingat masalah utama dengan daftar hitam: kami selalu melewatkan sesuatu!
Dalam kasus ini, misalnya, admin menolak alat Windows 64-bit klasik tetapi benar-benar lupa tentang file 32-bit di “C: Windows SysWOW64 “. Untuk menjalankan PowerShell misalnya, kita cukup menjalankannya dari folder itu.
Setelah kita memiliki akses ke prompt PowerShell, kita dapat memuat file yang dapat dieksekusi dan skrip dalam memori dan menjalankannya seperti yang kita lihat sebelumnya.
Selain itu, melakukan pencarian untuk powershell.exe di seluruh sistem biasanya menghasilkan versi lain dari file ini yang mungkin memiliki hash yang berbeda dari yang dilarang oleh Applocker:
Katakanlah admin melacak dan membuat daftar hitam setiap instance powershell.exe, powershell_ise.exe, cmd.exe… apakah kita sudah selesai? Tidak terlalu. Ada cara lain untuk mengeksekusi kode di Windows. Panggilan Prosedur Jarak Jauh misalnya memberikan cara alternatif untuk berinteraksi dengan sistem tanpa menggunakan alat baris perintah klasik. Utilitas “C: Windows System32 wbem wmic.exe”Dapat digunakan untuk melakukan tindakan tersebut.
Tentu kami tidak dapat memunculkan prompt PowerShell melalui WMIC, tetapi masih menawarkan lingkungan untuk mendapatkan informasi menarik tentang sistem untuk melakukan eskalasi hak istimewa:
Anda dapat menemukan daftar lengkap perintah WMI di link berikut.
Terkunci
Admin kami bosan dengan alat Microsoft resmi yang digunakan dengan cara yang begitu jahat sehingga ia memblokir semua binari yang disebutkan sebelumnya (dan beberapa lagi) untuk mengunci sistem sepenuhnya. Tidak ada lagi cmd.exe, powershell.exe, wmic.exe, dll. Kelihatannya agak aneh, tapi mari kita kembali ke dasar sebentar. AppLocker mengenali powershell.exe berdasarkan hash file. Yang berarti jika kita mengambil salinan powershell.exe dengan hash berbeda, kita menang! Kami tidak dapat mengambil file yang dapat dieksekusi (ekstensi .exe) karena file-file ini hanya boleh diluncurkan dari folder windows yang sah. Sudahlah, kami memiliki file jenis PE lain yang dapat kami gunakan: file DLL! Kita dapat menemukan misalnya implementasi DLL dari PowerShell di mengikuti URL.
Kami mengunduhnya ke folder acak, lalu meluncurkannya menggunakan C: windows system32 rundll32.exe utilitas. Untuk mengeksekusi DLL, kami memberinya nama DLL dan fungsi titik masuknya, dalam hal ini file utama fungsi: rundll32.exe PowerShdll.dll, utama
Sempurna! Sekarang kita dapat menjalankan file / skrip yang kita inginkan.
Kesimpulan
Jelas, kesimpulannya adalah menerapkan perlindungan pada file DLL serta file yang dapat dieksekusi. Itu sepenuhnya benar, bagaimanapun, itu membutuhkan lebih banyak pekerjaan untuk mengidentifikasi semua DLL sah yang digunakan oleh aplikasi bisnis pada mesin. Belum lagi penurunan performa yang disebabkan oleh pemeriksaan sistematis setiap kali program memuat DLL! Kami dapat menemukan cara untuk menggagalkan daftar putih DLL menggunakan semangat yang sama seperti trik yang diuraikan pada bab di atas, tetapi itu akan menjadi subjek artikel mendatang. Sampai saat itu, hack dengan aman!
Bagikan artikel ini jika menurut Anda bermanfaat:
https://paketinternet.topbestattorney.com/2020/09/02/cara-bypass-windows-applocker/
