文章总结: 该文档分析某黑产团队恶意样本通过计划任务实现权限维持的技术细节,核心是利用CVE-2024-49039Windows任务调度器漏洞,通过RPC调用在系统启动时将恶意进程注入svchost.exe。文中提供了漏洞检测脚本和GitHub上的POC链接,并建议安全人员可提取相关代码用于防御研究,但需注意文档后半部分为免杀知识库广告内容。 综合评分: 68 文章分类: 恶意软件,漏洞分析,渗透测试,红队,内网渗透
某黑产团队恶意样本中的计划任务权限维持
kernel kernel
Relay学安全
2026年4月8日 10:15 陕西
事出有因,前段时间有一个师傅发给了我一个样本文件,问其中的权限维持是怎么实现的。让我帮忙看看。
这个样本其实之前是有师傅分析过的,我们直接谷歌搜索该样本的Hash其实就可以找到相关的文章。
https://mp.weixin.qq.com/s/R6ETqFPCN_ucY98zr6wMLQ
该师傅在最后已经说明了该样本是通过RPC调用恶意任务执行的。
但后面没有该技术的细节。
我们这里先简单把这个样本过一下,大概的流程是这样的:
获取到当前进程的路径 比较是否等于: C:\ProgramData\xfolder32\svchost64.exe => 创建一个互斥体 用于避免在同一台机器运行多个实例 => 检查本地连接是否有网络 尝试最多60次 每次等待5秒 直到sub_401060函数返回true => 申请一块内存=>将shellcode复制到申请的内存中=>通过创建线程的方式去执行shellcode
获取到当前进程的路径 比较是否等于: C:\ProgramData\xfolder32\svchost64.exe 如果你运行exe的路径不是这个路径的话。
C:\ProgramData\xfolder32\svchost64.exe,不是这个路径的话,它会复制文件到这个路径去。
而在这里创建的计划任务。
跟进该函数打眼一看就是和RPC相关的,首先在这里调用RpcStringBindingComposeW函数来将协议,地址以及端口拼接成一个绑定字符串,因为RPC是通过绑定字符串来访问RPC接口的,根据生成的字符串来建立连接。
大致看了一下这个代码,感觉很像是利用了某个RPC的漏洞来实现的。
经过大量的谷歌搜索,我找到了该恶意软件所用到的漏洞: CVE-2024-49039。
这个漏洞是一个Windows任务调度器权限提升漏洞。攻击者可以利用该漏洞来获得更高的系统权限。
如下是漏洞的检测脚本(来自于: CVE-2024-49039:Windows 任务调度器权限提升漏洞 – 检测脚本 – vsociety)
try { # Retrieve the Task Scheduler service information $service = Get-Service -Name 'Schedule' -ErrorAction Stop
# Retrieve the startup type of the service $startupType = (Get-WmiObject -Class Win32_Service -Filter "Name='Schedule'").StartMode
# Check if the service is running if ($service.Status -eq 'Running') { Write-Host "Task Scheduler is active and running." -ForegroundColor Yellow
# Check the startup type if ($startupType -eq 'Auto') { Write-Host "Task Scheduler is set to launch at startup." -ForegroundColor Yellow Write-Host "Your system is VULNERABLE to CVE-2024-49039." -ForegroundColor Red } else { Write-Host "Task Scheduler is NOT set to launch at startup." -ForegroundColor Yellow Write-Host "Your system is VULNERABLE to CVE-2024-49039." -ForegroundColor Red } } else { Write-Host "Task Scheduler is not running." -ForegroundColor Yellow
# Check the startup type if ($startupType -eq 'Auto') { Write-Host "However, Task Scheduler is set to launch at startup." -ForegroundColor Yellow Write-Host "Your system is VULNERABLE to CVE-2024-49039." -ForegroundColor Red } else { Write-Host "Task Scheduler is not set to launch at startup." -ForegroundColor Yellow Write-Host "Your system is protected from CVE-2024-49039." -ForegroundColor Green } }} catch { # Catch any error and display an appropriate message Write-Host "An error occurred while checking the Task Scheduler service:" -ForegroundColor Red Write-Host $_.Exception.Message -ForegroundColor Red}
那么我们再回过头去看这个样本,我们发现每当系统启动登录时,他就会执行。如下图。
该进程会跑在svchost.exe进程下,因为svchost.exe是服务进程,而该恶意进程是通过计划任务拉起来的,所以最终运行在svchost.exe下。
利用的POC已经有老外编写好了:
https://github.com/je5442804/WPTaskScheduler_CVE-2024-49039
我们只需要更改代码中的执行路径即可。例如这里我更改为notepad.exe。
执行结果,这里显示创建成功。
那么当我们重启时,那么Notepad.exe进程就会启动在svchost.exe进程下。
这种权限维持的方式还是非常有趣的。具体可以提取出其中的代码加入到你的项目中。至于该漏洞分析相关的内容,大家可谷歌自行搜索,这里就不叙述了,本文主要是找出恶意软件中权限维持的方式。
内部知识库详情介绍
经过长时间的编写文档,这里建立了一个免杀学习的内部知识库。
在这里我们不当脚本小子,只探究原理,能让你真正的从0到1学习免杀相关知识。价格只需要159/人
需要请加微信备注知识库:
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:Relay学安全 kernel kernel《某黑产团队恶意样本中的计划任务权限维持》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论