Discussione Exploit Forse ho scoperto un 0day in widows

Ordina per data Ordina commenti per reazioni
M

monnezzza

Utente Silver
11 Marzo 2021
119
23
53
86
Allora é strano ma stavo sviluppando un c2 che usa discord e ho messo una funzione di persistance che chiama il file Runtime broker.exe (un processo di windows), ma quando ho riavviato il PC al posto di trovarmi col mio utente (comune) e nella folder startup (come succedeva se lo chiamavo in modo diverso) mi sono trovato in system32 con privilegi di admin (ma stesso utente) ditemi voi che cosa é, se il prossimo pwnkit o una cosa normale.

IMG_20230124_161521_771.jpg

E l'output di whoami /priv
Codice: 
INFORMAZIONI PRIVILEGI
----------------------

Nome privilegio               Descrizione                               Stato       
============================= ========================================= ============
SeLockMemoryPrivilege         Blocco di pagine in memoria               Disabilitato
SeShutdownPrivilege           Arresto del sistema                       Disabilitato
SeChangeNotifyPrivilege       Ignorare controllo incrociato             Abilitato   
SeUndockPrivilege             Rimozione del computer dall'alloggiamento Disabilitato
SeIncreaseWorkingSetPrivilege Aumento di un working set di processo     Disabilitato
SeTimeZonePrivilege           Modifica del fuso orario                  Disabilitato
 
System32 è solo la Current Working Directory, puoi impostarla a qualunque cartella senza nessun privilegio. L'output che hai postato di whoami /priv indica chiaramente che il processo è in medium-integrity, senza privilegi da amministratore. Non si trovano 0day così facilmente su un prodotto tanto maturo, però sono curioso, a cosa ti riferisci quando parli di persistenza con runtimebroker? O forse intendevi la chiave di registro Run?
 
Nono intendo che se tu metti nella cartella "Shell:startup" un file chiamato runtimebroker.exe spawna in c:\windows\system32 al posto che nella cartella startup come dovrebbe essere
Messaggio unito automaticamente:

E poi ESET l'antivirus su cui ho testato il mio c2 (era il mio PC) lo ha mandato a tantissime persone e ora mi si aprono tantissime sessioni di PC a a caso, non usate mai ESET
Screenshot_20230124-163623.png

Messaggio unito automaticamente:

Chi é george haha
Messaggio unito automaticamente:

Reaserchers di schifo
 
Capisco che all'inizio lo sembra ma il malware development non è un gioco. Gli antivirus come ESET di default hanno abilitato l'invio dei file sul cloud, dove vengono eseguiti su macchine virtuali automatiche (tipo george), se il comportamento è sospetto allora viene data una cattiva reputazione e a cascata viene rilevato sui PC dove è stato visto, anche dopo ore o giorni.

Il fatto che la CWD sia system32 è perfettamente normale se come persistenza usi la startup folder, a prescindere dal nome che gli dai. Prova con pippo.exe e vedrai che riavviando (senza doppio click), la cwd sarà sempre system32. Non ti dà nessun vantaggio, non è una vulnerabilità del sistema.
 
Il punto è che la working directory iniziale dipende dal processo padre, se la apri da explorer con doppio click passerà sempre la cartella che contiene l'exe. Se è un altro processo ad eseguirlo deve essere lui a specificarla in quel momento, altrimenti eredita la sua stessa working directory. Il fatto che la tua cwd è system32 non significa che puoi scriverci dentro.
 
  • Mi piace
Reazioni: --- Ra ---
emulator41 ha detto:
Nono intendo che se tu metti nella cartella "Shell:startup" un file chiamato runtimebroker.exe spawna in c:\windows\system32 al posto che nella cartella startup come dovrebbe essere
Messaggio unito automaticamente:

E poi ESET l'antivirus su cui ho testato il mio c2 (era il mio PC) lo ha mandato a tantissime persone e ora mi si aprono tantissime sessioni di PC a a caso, non usate mai ESET
Visualizza allegato 67906
Messaggio unito automaticamente:

Chi é george haha
Messaggio unito automaticamente:

Reaserchers di schifo
Clicca per espandere...
Lo ha mandato a un sacco di "gente" perché hai fatto i test dimenticandoti di disabilitare la funzione di sample autosubmission, e rettifico inoltre che non c'è alcuna gente là, sono semplicemente delle sandbox... Devi anche sperare che sono stati buoni, alcuni ti mettono in blacklist sia il payload che l'indirizzo IP a cui si collega. Avast non è così severo e si limita a mettere in blacklist il payload, ESET non lo so...
 
  • Mi piace
Reazioni: DjCanigia
Top Bottom
Indietro