Buenas a todos, en el post de hoy queríamos hablaros de un sencillo truco que podréis utilizar en vuestras campañas ofensivas.
Habitualmente, si una víctima intenta ejecutar un binario no firmado que requiere de permisos de administración, será avisado a través de UAC con un mensaje similar al siguiente:
Como podemos observar, UAC nos avisa de que se trata de un binario no firmado. El siguiente gráfico nos muestra, a grandes rasgos, el código de colores utilizado por Windows en los avisos de UAC. Las siguientes pantallas provienen de un Windows Server 2008 R2, aunque nos sirven como referencia:
La documentación más actualizada de UAC para Windows 10 la podéis consultar en el siguiente enlace. En cualquier caso, lo que nos interesa es el código amarillo, un aviso de que el binario no está firmado o que ha sido firmado por un Publisher desconocido. ¿Cómo evitar esta situación?
@_qaz_qaz nos propone una alternativa. Ejecutar cmd.exe con permisos de administración, ya que UAC lo detectará como un binario firmado por Microsoft y lanzará nuestro proceso desde el proceso de cmd.exe ya ejecutado:
A través de este sencillo truco, podemos conseguir que la ventana de ejecución sea azul, o lo que es lo mismo, que se trate de un binario firmado, y que el campo Publisher aparezca como "Verified publisher: Microsoft Windows". A través de este mecanismo, podremos conseguir aumentar la probabilidad de que la víctima ejecute nuestra muestra:
Por supuesto, esta tarea se puede replicar con cualquier LOLBIN, y no sólo con cmd. ¿Cuál es vuestro favorito?
Nice, gracias por compartir esta información. Saludos.
ResponderEliminar