一个有趣的横向移动技术POC代码

ivi

netero1010 Hack分享吧 2023-12-07 03:30 发表于澳大利亚

项目简介

ServiceMove是一个有趣的横向移动技术的POC代码，通过滥用Windows感知模拟服务来实现DLL劫持代码执行（仅限Windows 10 1809或更高版本）。

每次启动“Windows感知模拟服务”时，都会加载一个不存在的DLL文件（即hid.dll）。通过在“C:\Windows\System32\PerceptionSimulation”中插入精心设计的DLL并远程启动服务，我们能够在远程系统中以“NT AUTHORITY\SYSTEM”的身份实现代码执行。
该技术的优点在于它相对隐蔽/OPSEC，因为它不像其他一般横向移动技术（例如，服务创建/修改、计划任务创建）那样具有典型的 IOC。它要做的只是将文件拖放到远程系统并远程启动服务。


工具使用

1. ===General use===  
   
2. Command: bof-servicemove target /root/hid.dll  
   
3. 
   
4. ===Force mode===  
   
5. Description: restart the service if the service is already running  
   
6. Command: bof-servicemove target /root/hid.dll force
   
7. 
   
8. ===Cleanup mode===  
   
9. Description: stop the service if running and delete the DLL payload file  
   
10. Command: bof-servicemove target cleanup

复制代码

GIF动图演示：


Lazarus组织曾在一次攻击活动中也使用过ServiceMove这种横向移动技术：通过DeathNote活动发现的Lazarus组织的最新攻击趋势。

1. 参考及来源：https://securelist.com/the-lazarus-group-deathnote-campaign/109490/

复制代码