一、前言
AppLocker(應用程序控制策略)已經成為限制Windows主機的事實上的標準。AppLocker是Windows 7及Windows Server 2008 R2開始引入的一項新功能,是軟件限制策略(Software Restriction Policies,SRP)的后繼者。管理員可以使用AppLocker允許特定用戶或用戶組運行特定程序,同時也可以拒絕訪問其他程序。
在本文中,我們將向讀者介紹一種通過修改注冊表鍵值以繞過AppLocker的簡單方法。
我們的目標是在默認安裝的Windows主機上,利用AppLocker默認規則中信任的任何程序運行任意代碼。同時我們不會使用某些常用的可疑程序來實現這一目標,如regsvr32、 rundll32、InstallUtil、regsvsc、regasm、powershell、powershell_ise以及cmd。
二、環境配置
Windows 10實驗主機上的AppLocker規則如下所示:
細心的讀者可能會注意到,我們可以使用幾種方法繞過上述規則。比如,某人可以在“ftp.exe”程序中,在任意命令前加上“!”符號,就可以執行任意命令,也可以將任何受限程序拷貝到“C:\Windows”目錄中的任何一個可寫目錄(如“C:\Windows\Task”,“授權用戶(Authenticated Users)”組的成員默認情況下都可以寫這些目錄)完成執行目的。這些AppLocker規則并不意味著系統對攻擊者來說是堅不可摧的,其目的在于確保攻擊者不能使用規則所禁止應用程序來繞過AppLocker。
此外,雖然上述策略是基于路徑條件的規則,但本文描述的方法也能繞過基于程序發布者(Publisher)以及文件哈希(File Hash)的AppLocker限制策略。
三、技術細節
這項技術最開始的出發點是基于CPL的繞過思路。CPL本質上就是.dll文件,這些文件的導出函數為CPIApplet回調函數。控制面板通過CPL將所有選項在同一個位置呈現給用戶。
我創建了一個dll文件,將其擴展名改為.cpl,雙擊該文件。這種方式與在命令行中運行“control.exe
”的效果一致,最終會執行MainDLL函數中的代碼。不幸的是,在我們的實驗環境中,這樣做會導致rundll32彈出AppLocker錯誤窗口:
然而,使用rundll32運行控制面板自帶的CPL卻是可行的。這樣我們就會有兩個疑問:
1、控制面板如何加載默認的CPL?
2、控制面板從何處獲取CPL列表?
第一個問題跟我們最終的目標關系不大,因為我們知道,在此時此刻,控制面板并沒有使用rundll32或者其他黑名單程序來加載默認的CPL。如果你想進一步了解這個問題,你可以在shell32.dll中找到COpenControlPanel COM對象(06622D85-6856-4460-8DE1-A81921B41C4B)的函數:
有趣的是,觀察control.exe程序的字符串,我們發現某些CPL(比如joy.cpl)仍然是通過rundll32啟動的。為了證實這一點,我們可以在控制面板中,點擊“設置USB游戲控制器(Set up USB game controllers)”,此時會再次彈出rundll32的AppLocker錯誤窗口。
接著看下一個問題,控制面板從何處獲取CPL列表?通過Procmon我們可以快速找到問題的答案:
注冊表中的“HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\CPLs”包含一個CPL列表,這些CPL會在控制面板啟動時加載:
我們發現系統也會檢查HKCU中相同的路徑!默認情況下,每個用戶對他們自己的hive文件都具有寫權限。MSDN有一篇非常有趣的文章,其中介紹了如何注冊dll控制面板選項。我們只關心如何加載我們自己的CPL,因此文章介紹的第一個步驟就能滿足我們需求。
我們可以使用多種方法,來修改我們自己的注冊表:
1、使用“reg”命令:
2、使用“regedit”或者“regedt32”程序:
3、使用VBScript腳本:
4、使用Jscript腳本:
“reg“和”regedit“都是微軟簽名的程序,都位于可信的目錄中,因此默認情況下不會被AppLocker攔截:
如果這兩個程序被組策略所阻止,那么JScript以及VBScript應該也能奏效。
此外我們還可以通過各種方法啟動控制面板:
1、運行C:\windows\system32\control.exe
2、使用%APPDATA%\Microsoft\Windows\Start Menu\Programs\System Tools\Control Panel.lnk快捷方式
3、直接使用CLSID:
shell:::{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}
shell:::{26EE0668-A00A-44D7-9371-BEB064C98683}
shell:::{ED7BA470-8E54-465E-825C-99712043E01C}
4、使用映射文件夾(Junction Folder):
My Control Panel.{ED7BA470-8E54-465E-825C-99712043E01C}
因此,繞過AppLocker并不難。首先,我們可以創建一個啟動命令提示符的DLL文件,當然使用其他載荷也可以,為了演示方便,我們還是使用這種簡單示例。將DLL拷貝到某個可寫的目錄中,比如桌面或者臨時文件夾中,根據需要將其重命名為CPL文件,然后使用前文描述的方法將這個CPL的路徑寫入HKCU注冊表中,使用前面提到的任何一種方法啟動控制面板。這樣控制面板就會加載這個DLL文件,最終彈出一個命令提示符:
四、總結
本文介紹的方法可能不是繞過AppLocker的最簡單或者最直接的方法,然而它的確提出了另一種可行的攻擊方法,攻擊者可以利用該方法在受限的計算機上運行任意代碼。
如果不考慮性能影響,我們可以在AppLocker屬性窗口的“Advanced“選項卡中,啟用”DLL Rule Collection“選項避免這種攻擊方式:
| 
