com组件的劫持_打开文件夹就运行？COM劫持利用新姿势

*本文原创作者&＃xff1a;菠菜&＃xff0c;本文属FreeBuf原创奖励计划&＃xff0c;未经许可禁止转载

打开文件夹就能运行指定的程序&＃xff1f;这不是天方夜谭&＃xff0c;而是在现实世界中确实存在的。利用本文探讨的COM劫持技术&＃xff0c;可以轻松实现出打开文件夹就运行指定代码的功能。对于COM劫持技术&＃xff0c;国内很少有资料进行原理阐述&＃xff0c;本文结合自身分析经验对COM劫持技术进行归纳总结。同时&＃xff0c;希望各大安全厂商针对此类利用做好防护&＃xff0c;保护用户信息安全。

前言

所谓“骂人先骂娘&＃xff0c;擒贼先擒王”&＃xff0c;首先给出读者最最关心的劫持文件夹的利用方法的效果展示&＃xff1a;

为了理解本文内容&＃xff0c;我们首先要了解COM的一些基本的概念&＃xff1a;接口&＃xff1a;一组函数的总称&＃xff0c;这些函数也被称为”方法”&＃xff0c;通常情况下&＃xff0c;接口的名称都是以“I”开关&＃xff0c;例如&＃xff1a;”IShellFolder”.接口可以继承。

Component object class(coclass)&＃xff1a;也就是组件&＃xff0c;组件包含在一个DLL或者exe文件中&＃xff0c;它包含了一个或多个接口的实现代码。组件实现了它包含的所有接口。

COM object&＃xff1a;是组件的一个实例。

COM server&＃xff1a;一个dll或者exe文件&＃xff0c;包含了一个或者多个组件。

COM library&＃xff1a;是操作系统的一部分&＃xff0c;负责响应用户程序。

GUID&＃xff1a;唯一的、128位的标识对象的标识. 全局唯一标识符&＃xff0c;是唯一的一个ID&＃xff0c;类似于物理网址那样。

CLSID&＃xff1a;class id&＃xff0c;唯一的标识组件。

IID&＃xff1a;interface id&＃xff0c;用来标识接口。

此外&＃xff0c;对于windows操作系统&＃xff0c;存在着虚拟文件夹&＃xff0c;控制面板&＃xff0c;我的电脑等都是系统中的虚拟文件夹。这种虚拟文件夹在注册表中都会有一个CLSID与之对应&＃xff0c;例如&＃xff0c;我的电脑对应的CLSID是{20D04FE0-3AEA-1069-A2D8-08002B30309D}&＃xff0c;控制面板的CLSID是{21EC2020-3AEA-1069-A2DD-08002B30309D}。

那么怎样可以看到这些虚拟文件夹呢&＃xff1f;以“我的电脑”虚拟文件夹为例&＃xff0c;在开始--运行中输入”:: {20D04FE0-3AEA-1069-A2D8-08002B30309D”就可以打开我的电脑。但需要注意的是&＃xff0c;在WIN7下&＃xff0c;输入::{21EC2020-3AEA-1069-A2DD-08002B30309D}可以打开控制面板&＃xff0c;但在xp系统下&＃xff0c;打开控制面板需要输入的命令为&＃xff1a;”::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\::{21EC2020-3AEA-1069-A2DD-08002B30309D}”。

利用方法

作为演示&＃xff0c;我们执行代码的功能为&＃xff0c;弹出一个类似与下图的对话框&＃xff0c;其中显示出了调用这个DLL的进程路径及PID信息。

把大象装进冰箱里需要三步&＃xff0c;我们的利用也分为三步&＃xff1a;

1.精选CLSID&＃xff0c;尽量选择系统应用范围广的CLSID&＃xff0c;这样的模块可以保证系统在进行很多功能时都会加载dll。我们选择的CLSID为&＃xff1a;{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}&＃xff0c;其对应着CAccPropServicesClass类。

修改注册表&＃xff0c;将CLSID对应的DLL文件修改成实现了某些待定功能的文件(这个文件是由我们精心构造的&＃xff0c;不然无法利用成功)。

可通过将下列数据导入到注册表实现Windows RegistryEditor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}]

[HKEY_CLASSES_ROOT\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}\InProcServer32]

&＃64;&＃61;"freebuf.dll"

"ThreadingModel"&＃61;"Apartment"

2. 新建文件夹&＃xff0c;以CLSID做为后缀名&＃xff0c;同时将我们的利用dll拷贝到系统目录下:

这里的文件名可以充分发挥想象力(骗术)&＃xff0c;利用社会工程学&＃xff0c;起个诱惑的文件夹名&＃xff0c;比如&＃xff0c;目标喜欢日本姑娘&＃xff0c;文件夹就叫做” 小泽にほんごかなニホンゴ(カナ).{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}”

3. 打开文件夹&＃xff0c;成功利用

利用的步骤很简单&＃xff0c;其中最为关键是我们实现代码的dll以及CLSID的选择&＃xff0c;这不是一个普通的dll&＃xff0c;而是dll中的”战斗dll”&＃xff0c;这是一个实现了COM接口的dll,并且在dll的导出函数的返回值有特殊要求。具体可以参见文末附件中的代码。

背后的故事

通过上面的图&＃xff0c;可以看出&＃xff0c;我们的DLL实际上是由verclsid.exe加载的。而verclsid.exe是通过shell32.dll中的函数调用起来的。在shell32.dll中SHExtCoCreateInstance函数成功调用后&＃xff0c;verclsid.exe才会被加载。

而SHExtCoCreateInstance只是对_SHExtCoCreateInstance2的封装

而通过ida看到_SHExtCoCreateInstance2调用了_ShouldLoadShellExt&＃xff0c;所有_ShouldLoadShellExt成功返回(返回非0值)&＃xff0c;才能加载verclsid.exe.

_ShouldLoadShellExt在对注册表Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Blocked和Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved进行判断后&＃xff0c;调用了_QueryClassInterface&＃xff0c;而要求_QueryClassInterface返回一个非0值&＃xff0c;就只能是下图中的 v17&＃61;ExitCode&＃61;&＃61;0代码的地方。

综全上面的过程&＃xff0c;要想成功利用&＃xff0c;只要使CreateProcessW函数调用verclsid.exe结束时的exitcode等于0。

对verclsid.exe分析

调用verclsid.exe传递的参数有&＃xff1a;/S&＃xff1a;随后调用OLE32!CoInitializeEx函数时的参数;

/C &＃xff1a; CLSID;

/I &＃xff1a;Interface id;

/X&＃xff1a;调用OLE32!CoCreateInstance函数时所需要的参数值;

随后&＃xff0c;通过下面的函数调用com组件

调用OLE32!CoCreateInstance

调用ppv->QueryInterface

随后会调用

ppv->Release()

CoUninitialize()

然后&＃xff0c;函数就正常返回&＃xff0c;当函数正常返回时&＃xff0c;verclsid.exe的exitcode等于0。这就保证了我们的dll能够被加载成功。

所以&＃xff0c;我们只需要写一个COM服务dll&＃xff0c;使verclsid.exe调用这个服务dll的接口时&＃xff0c;返回S_OK就OK了。具体关于COM服务dll的编写&＃xff0c;请参考附件链接。

总结

这种COM劫持技术最大的优点在于&＃xff0c;不需要进行动态的dll注入等操作&＃xff0c;可以绕开主动防御&＃xff0c;此外&＃xff0c;这种利用的加载进行为操作系统的verclsid.exe&＃xff0c;宿主进程是天生的白进程&＃xff0c;也可以绕开白名单机制。而且劫持dll的加载是由系统底层机制决定的。另外&＃xff0c;这种技术很可能被用于网络黑产&＃xff0c;这也要求安全厂商提高对这种劫持行为的识别与检测。

*本文原创作者&＃xff1a;菠菜&＃xff0c;本文属FreeBuf原创奖励计划&＃xff0c;未经许可禁止转载