通过Nvidia签名的二进制文件执行系统命令
导语:前段时间,在PowerMemory上工作时,我在其中一台电脑上发现了一个由Nvidia配置的隐藏帐户。并且开始寻找Nvidia其他类似的可执行系统命令,以及Nvidia的合法性。
前段时间,在PowerMemory上工作时,我在其中一台电脑上发现了一个由Nvidia配置的隐藏帐户(https://twitter.com/pabraeken/status/651369704746020864)。
然后,当我看到Hexacorn文章(http://www.hexacorn.com/blog/2017/11/10/reusigned-binaries-living-off-the-signed -land /)时,我非常开心。
我开始寻找Nvidia其他类似的可执行系统命令,以及Nvidia的合法性。
我发现这一个:
运行它,之后看他的参数很有希望执行命令。
命令列表包括Hexacorn发现的:
AddUninstall,Call,CheckPath,CheckRAID,ClassSweep,Copy,CopyV,CreateDevice,CreateShortcut,Del,DelBoot,DelBootQuiet,DelIniIfMatched,DelOemInfs,DelReg,DelRegE,DirAndApply,Echo,EnumDevices, EnumRegCmd,EnumRegNamesCmd,Eval,FindOEMInf,GetDrivePort,GetFolderPath,GetInfGUID,GetReg,Help,If,InstallDriver,InstallDriverEx,KillApp,RemoveDevice,Run,RunOnce,SendMessage,Set,SetEnv,SetReg,Sleep,Splash,StartLogging,StopLogging,SysCallAndWait,系统,UnifyUninst,卸载,UnInstallEx,UninstallGUI,UninstallService,WaitOnRegDel
以下这些命令的说明:
· Decrement: 以数字方式减少变量
· Increment: 以数字方式增加一个变量
· DisplayControlPanel:显示有关显示控制面板卸载的消息。
· AskToCloseAndExitIfRunning:给定应用程序名称,枚举所有正在运行的应用程序以进行匹配。如果找到,则提示用户关闭应用程序。
· RemoveDriverStore:使用setupdi调用从系统中删除与给定描述相匹配的任何设备。 Enum可以是(PCI,EISA等),HWID通常是VEN_10DE,设备类型可以是DISPLAY,HDC,MEDIA,NET,SYSTEM。
· RemoveDeviceEx:使用setupdi调用从系统中删除与给定描述相匹配的任何设备。 Enum可以是(PCI,EISA等),HWID通常是VEN_10DE,设备类型可以是DISPLAY,HDC,MEDIA,NET,SYSTEM。
· DisableDevice:使用setupdi调用禁用与系统中给定描述相匹配的任何设备。 Enum可以是(PCI,EISA等),HWID通常是VEN_10DE,设备类型可以是DISPLAY,HDC,MEDIA,NET,SYSTEM。
· RemoveUpperFilter:从指定它的任何设备中删除过滤器服务。
· StopService:卸载给定的服务名称。
· RmString:如果找到,则从原始字符串中删除该字符串,并将结果保存到新变量中。
· DelAll:删除给定的文件夹,如果它存在,它也删除文件夹内的内容。
· DisplayControlPanel:显示有关显示控制面板卸载的消息。
· AskToCloseAndExitIfRunning:给定应用程序名称,枚举所有正在运行的应用程序以进行匹配。如果找到,则提示用户关闭应用程序。
· RemoveDriverStore:使用setupdi调用从系统中删除与给定描述相匹配的任何设备。 Enum可以是(PCI,EISA等),HWID通常是VEN_10DE,设备类型可以是DISPLAY,HDC,MEDIA,NET,SYSTEM。
· RemoveDeviceEx:使用setupdi调用从系统中删除与给定描述相匹配的任何设备。 Enum可以是(PCI,EISA等),HWID通常是VEN_10DE,设备类型可以是DISPLAY,HDC,MEDIA,NET,SYSTEM。
· DisableDevice:使用setupdi调用禁用与系统中给定描述相匹配的任何设备。 Enum可以是(PCI,EISA等),HWID通常是VEN_10DE,设备类型可以是DISPLAY,HDC,MEDIA,NET,SYSTEM。
· RemoveUpperFilter:从指定它的任何设备中删除过滤器服务。
· StopService:卸载给定的服务名称。
· RmString:如果找到,则从原始字符串中删除该字符串,并将结果保存到新变量中。
· DelAll:删除给定的文件夹,如果它存在,它也删除文件夹内的内容。
运行 calc.exe
查看信息显示我们该文件需要管理员权限(与Hexacorn描述的二进制文件nvuhda.exe和nvuhda6.exe完全相同)。
Sigcheck -m nvudisp.exe
这是一个有意义的研究,攻击者可以用来打破标准的EDR检测规则。