前段時間,在PowerMemory上工作時,我在其中一台電腦上發現了一個由Nvidia配置的隐藏帳戶(
https://twitter.com/pabraeken/status/651369704746020864)。
然後,當我看到Hexacorn文章(
http://www.hexacorn.com/blog/2017/11/10/reusigned-binaries-living-off-the-signed -land /)時,我非常開心。
我開始尋找Nvidia其他類似的可執行系統指令,以及Nvidia的合法性。
我發現這一個:
運作它,之後看他的參數很有希望執行指令。
指令清單包括Hexacorn發現的:
AddUninstall,Call,CheckPath,CheckRAID,ClassSweep,Copy,CopyV,CreateDevice,CreateShortcut,Del,DelBoot,DelBootQuiet,DelIniIfMatched,DelOemInfs,DelReg,DelRegE,DirAndApply,Echo,EnumDevices, EnumRegCmd,EnumRegNamesCmd,Eval,FindOEMInf,GetDrivePort,GetFolderPath,GetInfGUID,GetReg,Help,If,InstallDriver,InstallDriverEx,KillApp,RemoveDevice,Run,RunOnce,SendMessage,Set,SetEnv,SetReg,Sleep,Splash,StartLogging,StopLogging,SysCallAndWait,系統,UnifyUninst,解除安裝,UnInstallEx,UninstallGUI,UninstallService,WaitOnRegDel
以下這些指令的說明:
· Decrement: 以數字方式減少變量
· Increment: 以數字方式增加一個變量
· DisplayControlPanel:顯示有關顯示控制台解除安裝的消息。
· AskToCloseAndExitIfRunning:給定應用程式名稱,枚舉所有正在運作的應用程式以進行比對。如果找到,則提示使用者關閉應用程式。
· RemoveDriverStore:使用setupdi調用從系統中删除與給定描述相比對的任何裝置。 Enum可以是(PCI,EISA等),HWID通常是VEN_10DE,裝置類型可以是DISPLAY,HDC,MEDIA,NET,SYSTEM。
· RemoveDeviceEx:使用setupdi調用從系統中删除與給定描述相比對的任何裝置。 Enum可以是(PCI,EISA等),HWID通常是VEN_10DE,裝置類型可以是DISPLAY,HDC,MEDIA,NET,SYSTEM。
· DisableDevice:使用setupdi調用禁用與系統中給定描述相比對的任何裝置。 Enum可以是(PCI,EISA等),HWID通常是VEN_10DE,裝置類型可以是DISPLAY,HDC,MEDIA,NET,SYSTEM。
· RemoveUpperFilter:從指定它的任何裝置中删除過濾器服務。
· StopService:解除安裝給定的服務名稱。
· RmString:如果找到,則從原始字元串中删除該字元串,并将結果儲存到新變量中。
· DelAll:删除給定的檔案夾,如果它存在,它也删除檔案夾内的内容。
運作 calc.exe
檢視資訊顯示我們該檔案需要管理者權限(與Hexacorn描述的二進制檔案nvuhda.exe和nvuhda6.exe完全相同)。
Sigcheck -m nvudisp.exe
這是一個有意義的研究,攻擊者可以用來打破标準的EDR檢測規則。
原文釋出時間為:2018-05-24
本文來自雲栖社群合作夥伴“
嘶吼網”,了解相關資訊可以關注“
”。
![通過檔案系統(NFS)搭建RAC最後[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)