Windows權限維持技巧之隱藏服務

0x01注冊服務

將后門注冊為windows自啟動服務是常見的后門維持手法，使用命令sc或者powershell命令都可以將自己的后門程序注冊為自啟動服務。

使用sc命令將后門程序注冊為自啟動服務，并以LocalSystem的身份運行：

手動啟動服務或重啟計算機，后門執行。雖然手動執行時提示啟動失敗，但實際上后門已經成功執行：

msf成功建立新會話，查看權限為system

雖然成功實現了服務自啟動，但是這個權限維持的方法很容易被檢測。因為創建新的服務后可以檢索到這個服務，如果防御者看到名字不熟悉的服務就會懷疑這是惡意的服務。通過sc命令或者get-service命令可以查看該服務的信息。

使用sc查看指定名字的服務信息狀態：

或使用sc命令查看服務的配置信息，后門文件直接保留：

使用powershell中的get-service 也可以查看服務信息

0x02 隱藏服務

為了不被防御者發現用于權限維持的服務，可以考慮將服務隱藏。Joshua Wright提供了一種方法，通過SDDL(安全描述符語言)修改服務的安全描述符，文章附在文末的參考文獻中。Windows系統中服務和文件一樣，都使用了安全描述符(SD)配置該安全對象對于哪些訪問對象都允許哪些權限。

Joshua Wright提供的方法使用sc 命令的sdset模塊可以修改服務的安全描述符，命令如下:

sc.exe sdset test "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

再次使用get-service命令查看服務信息，服務不存在

使用sc.exe查看服務信息拒絕訪問

使用sc.exe查詢所有服務信息并過濾名為“test”的服務，結果為空

、

0x03 原理

SDDL

Windows服務支持使用安全描述符定義語言（Security Descriptor Definition Language | SDDL）控制服務權限的功能。通過修改SDDL可以修改對象（文件或者服務）的DACL（自主訪問控制列表），從而修改用戶對對象的訪問控制。通過對服務的SDDL進行編輯，拒絕所有用戶對該服務的讀取權限，即實現服務隱藏的效果。

SDDL語法：

符號描述

O: -  Owner
G: -  Primary Group
D: -  Discretionary ACL (DACL) 
S: -  System ACL (SACL) 

ACE 類型描述

A: -  Access Allowed
D: -  Access Denied
OA: - Object  Access Allowed
OD: - Object  Access Denied
AU: - System Auidt
AL: - System Alarm
OU: - System Object Audit
OL: - System Object Alarm
ML: - System MAndatory Label

服務相關符號權限

CC：- 服務配置查詢
LC: - 服務狀態查詢
SW: - SERVICE_ENUMERATE_DEPENDENTS
RP: - 服務啟動
WP: - 服務停止
DT: - 服務暫停
DC: - 服務配置更改

SD: - 刪除

繼承標志位
OI：- 表示該ACE可以被子對象繼承
CI：- 表示該ACE可以被子容器繼承
IO：- 僅作用于子對象
NP：- 僅被直接子容器繼承，不繼續向下繼承

對象

"IU"：- 交互登陸用戶

"AU"：- 認證用戶

"SU"：- 服務登陸用戶




格式(允許/拒絕;繼承;權限列表;;對象)

使用powershell 命令查看文件夾的SSDL：

get-acl [c:\windows] | fl

那么分析之前隱藏服務的命令，隱藏服務主要用到的SDDL為：

D:(D;;DCLCWPDTSD;;;IU)  //拒絕交互登陸用戶的服務配置、查詢、狀態查詢、暫停和刪除權限
(D;;DCLCWPDTSD;;;SU)    //拒絕登陸用戶的服務配置、查詢、狀態查詢、暫停和刪除權限
(D;;DCLCWPDTSD;;;BA)    //拒絕認證用戶的服務配置、查詢、狀態查詢、暫停和刪除權限

組策略實現服務隱藏

在了解了原理之后，發現實際隱藏服務的操作實際是修改服務權限，使服務對所有用戶的查詢等權限拒絕。

在【組策略管理編輯器->計算機配置->策略->Windows配置->安全設置->系統服務】中同樣可以修改服務的權限

通過組策略編輯器取消所有用戶對服務DHCP Client 服務的讀取權限

使用get-service 查看DHCP Client 查看該服務，發現服務不存在

0x04 防御

在通過本文的方法隱藏后，下列方法都無法查詢到服務的信息

PS C:\WINDOWS\system32> Get-Service | Select-Object Name | Select-String -Pattern 'test'
PS C:\WINDOWS\system32> Get-WmiObject Win32_Service | Select-String -Pattern 'test'
PS C:\WINDOWS\system32>sc.exe query | Select-String -Pattern 'test'

如果事先知道服務的名稱并擁有服務停止權限，使用Get-Service停止服務會提示無法打開

如果服務不存在，則停止服務時會提示服務不存在

或使用sc查詢服務信息，會提示沒有權限

但是使用sc查詢服務配置信息可以查到，因為沒有拒絕用戶的服務配置查詢權限

上述方法還拒絕了停止權限，因此無法停止，但依然會提示與服務相關的信息

所以為了更好的隱藏服務信息，可以對上述方法的SDDL進行更改，增加查詢服務配置信息拒絕項（CC）：

sc.exe sdset test "D:(D;;DCLCWPDTSDCC;;;IU)(D;;DCLCWPDTSDCC;;;SU)(D;;DCLCWPDTSDCC;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

0x05 還原

通過刪除拒絕相關的SDDL語句，即可讓服務正常被查詢

& $env:SystemRoot\System32\sc.exe sdset auto_calc "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"