Απενεργοποιηση UAC Χωρις Ενεργεια Χρηστη

[Andrew Geo]

Ναι, ο τιτλος τα λεει ολα, θελω να φτιαξω ενα υπερmalware που θα μολυνει κάθε υπολογιστη του κοσμου που τρεχει Windows, και θα είναι ενας συνδυασμος worm, rootkit και ransomware (για να βγαλω και κανα λεφτο ετσι

Just Kiddin'. Κανω μια ερευνα (ατομικη) πανω σε malware και θελω να φτιαξω ένα πρόγραμμα οπου καπως, θα απενεργοποιουσε το UAC για να κανει οτιδήποτε χρειαζεται προνομια διαχειριστη ή ακομα και SYSTEM,
​(Αν και το UAC δεν εχει καμια σχεση με το SYSTEM απ' ότι νομιζω) χωρις να ειδοποιηθεί ο χρηστης. Στα Windows XP ειχα βρει ένα workaround για να συνδεθεις ως System, αλλα βεβαια, δεν θα λειτουργει στα 7, 8 ή 10 που χρησιμοποιώ.

​Φυσικα και δεν ζηταω κωδικα. Απλα θελω να βρω το πως θα γινει. Αν για παράδειγμα πρεπει να πειραξω το registry(που δεν γινεται αμεσα γιατι θα πεταχτει ένα UAC Prompt) ή να πειραξω ένα αρχειο των Windows (που παλι θα πεταχτει το UAC);;; ή μηπως υπαρχει ένα καλα κρυμμενο feature τυπου "easter egg" που χρησιμοποιει η ιδια η Microsoft μαζι με την NSA για να μας παρακολουθουν και να καταγραφουν κάθε ποτε παμε τουαλετα ή τραβαμε μα****α μεσω webcam;; γιατι είναι μπανιστηρτζιδες αυτοι στην NSA..

Βεβαια, επειδή δεν μπορω να κανω και πολλα το πρόγραμμα θα ξεκινησει αφου το τρεξει ο χρηστης,
μονο που θα χρησιμοποιησω RTL Override και το filename θα φαινεται καπως ετσι: "CAM0001exe.png"
και φυσικα θα αλλαξω και εικονιδιο

​Τωρα που κανω preview, οντως φαινεται λες και θελω να φτιαξω υπερmalware

​Ας θεωρηθεί ethical hacking
 

[defacer]

Καταλαβαίνεις ότι αν υπήρχε τρόπος να απενεργοποιήσεις το UAC ενώ είναι ρυθμισμένο να προειδοποιεί όταν κάποιος πάει να κάνει κάτι "δραστικό", δε θα υπήρχε κανένας λόγος να φτιάξουν το UAC εξαρχής έτσι;

[Andrew Geo]

για αυτο και ρωταω, επειδη το καταλαβαινω
​δεν θα γινοταν απο το registry, το εχω ηδη αποκλεισει
ψαχνω κατι σαν vulnerability

[Bspus]

Εχε υποψη σου οτι το να απενεργοποιησεις το UAC δεν σου δινει αυτοματα τη δυνατοτητα να κανεις οτι θελεις στο μηχανημα χωρις prompt.

 

Οι μεν απλοι χρηστες χρειαζονται το UAC για να τους ζητηθει κωδικος administrator οι δε "administrators" το χρειαζονται για να συνεχισουν χωρις κωδικο με το απλο ΟΚ.

 

Ο μονος χρηστης που μπορει να λειτουργει σωστα χωρις το UAC ενεργοποιημενο ειναι ο built-in local administrator. Οι αλλοι χρηστες που φτιαχνουμε δεν μπορουνε να κανουνε τιποτα στο συστημα χωρις το UAC ενεργοποιημενο.

 

Οποτε το προγραμμα σου θα δουλευε σωστα μονο αν ο χρηστης που ειναι logged on ειναι ο built-in administrator, πραγμα σπανιο.

Πιο πολλες πιθανοτητες θα ειχες να πετυχεις κατι προσπαθωντας να αντιμετωπισεις με αυτοματο τροπο το prompt που θα πεταχτει ελπιζοντας οτι ο χρηστης θα ειναι στο group των administrators (η συνηθης περιπτωση) οποτε δεν θα χρειαστει κωδικος.

[Andrew Geo]

περιμενα οτι αυτο το θεμα θελει πολυ ψαξιμο
​αλλα τελικα θελει ακομα περισσοτερο
​Ευχαριστω!

​Γινεται να ενεργοποιησω τον built in administrator μεσω cmd
​από λογαριασμο στο group των admin;;

[defacer]

Ο μονος χρηστης που μπορει να λειτουργει σωστα χωρις το UAC ενεργοποιημενο ειναι ο built-in local administrator. Οι αλλοι χρηστες που φτιαχνουμε δεν μπορουνε να κανουνε τιποτα στο συστημα χωρις το UAC ενεργοποιημενο.

 

What? Οποιοσδήποτε account που έχει administrator privileges μπορεί να το κάνει αυτό. Τι εννοείς "ο" local administrator?

 

για αυτο και ρωταω, επειδη το καταλαβαινω

​δεν θα γινοταν απο το registry, το εχω ηδη αποκλεισει

ψαχνω κατι σαν vulnerability

 

Και το ψάχνεις στο insomnia.

 

OK.

[Bspus]

What? Οποιοσδήποτε account που έχει administrator privileges μπορεί να το κάνει αυτό. Τι εννοείς "ο" local administrator?

 

 

 

Αμα απενεργοποιησεις το UAC τελειως και πας να τρεξεις κατι ως administrator (με δεξι κλικ run as administrator) ή απλως τρεξεις καποιο προγραμμα που εχει την ασπιδουλα στο εικονιδιο (οποτε αυτοματα θα σου δωσει elevation μετα το Prompt) σου τρεχει σωστα?

Γιατι εχω δει σε αρκετα συστηματα χρηστες να απενεργοποιουν το UAC και να μην αποκτουν το elevation ουτε να τους δειχνει το prompt φυσικα. Και δεν σου δινει καμια ειδοποιηση, απλα το αγνοει τελειως.

Τουλαχιστον ετσι μου συνεβαινε οταν ειχα windows 7 και ακομα το βλεπω με καποιους χρηστες που απενεργοποιουν το UAC γιατι τους ενοχλει.

 

Αυτο οπως ειπα, ΔΕΝ συμβαινει με τον built-in administrator. Εννοω τον localhost\Administrator χρηστη. Αυτον που και να θες δεν μπορεις να τον βγαλεις απο το group των admins (και ο οποιος εχει παντα SID που τελειωνει σε 500). Μπορεις να τον μετονομασεις σε οτιδηποτε αλλο θελεις αλλα συνεχιζει να ειναι "ο" local administrator

[defacer]

Πάντα σε όλα μου τα μηχανήματα έχω τον local admin (SID -500 που λες) απενεργοποιημένο και παίζω είτε με άλλους local accounts με admin privilege είτε με domain administrators. Δε μου έχει τύχει αυτό που λες να μη μπορώ να πάρω elevation.

[Andrew Geo]

Και το ψάχνεις στο insomnia.

 

OK.

Ειχα φτιαξει thread και σε αλλα ξενα forum και ειχε μαρκαριστει σαν off topic ή και malicious activity ξερω γω και τετοια

​Δεν ειπα ποτε πως περιμενα απαντηση με καποια ευπαθεια σε αυτό το forum και ποτε δεν ειπα ότι το insomnia είναι το forum οπου θα μου απαντησουν χακερικες ερωτησεις, αλλα ειπα να δοκιμασω μιας και εχει μεγαλη κοινοτητα προγραμματιστων

 

[Bspus]

Πάντα σε όλα μου τα μηχανήματα έχω τον local admin (SID -500 που λες) απενεργοποιημένο και παίζω είτε με άλλους local accounts με admin privilege είτε με domain administrators. Δε μου έχει τύχει αυτό που λες να μη μπορώ να πάρω elevation.

 

To εψαξα λιγο παραπανω και οντως δεν ειναι το UAC απο μονο του που δημιουργει αυτη τη συμπεριφορα. Πρεπει να συντρεχουν και αλλοι λογοι.

 

http://superuser.com/questions/83677/disabling-uac-on-windows-7

 

Αυτο το thread ειναι αρκετα ενημερωτικο. Παρεπιπτοντως λεει και πως να το κοψεις απο το registry που ενδιεφερε τον OP!

Και στο κομματι που λεει για το group policy λεει τι πρεπει να εχεις για να παιρνεις elevation με το UAC disabled.

 

Αλλον ενα thread για elevation σε εφαρμογες .net. Υποθετω κακογραμμενες εφαρμογες μπορει επισης να παρουσιασουν προβλημα με το UAC απενεργοποιημενο

http://stackoverflow.com/questions/19277407/how-to-elevate-application-when-uac-is-turned-off

[Andrew Geo]

Ευχαριστω, Bspus

Πηγα να πειραξω αμεσα το registry (EnableLUA) και δουλεψε...
εχοντας asInvoker στο Manifest ?????

Τι παιζει ακριβως;;

​EDIT: ετρεχα το Visual Studio ως admin ενώ εκανα debugging... σκατα
 

Επεξ/σία 18 Ιανουαρίου 2016 από Andrew Geo

[Επισκέπτης]

Το UAC είναι το μικρότερο από τα προβλήματα σου. Για να φτιάξεις malware (για ερευνητικούς λόγους και καλά) πρέπει να ασχοληθείς με packaging και encryption ώστε να μη σε παίρνουν χαμπάρι τα antivirus. Επίσης πρέπει να βρεις πως θα επικοινωνείς με κάποιο command center για να περνάς εντολές, να βρεις πως θα το κάνεις register στη μνήμη χωρίς να φαίνεται κι ένα σωρό άλλα πράγματα που είναι πολύ εξειδικευμένα.

 

Τέλος, έχε κατά νου ότι υπάρχουν χιλιάδες malware εκεί έξω με μοναδικό σκοπό να παίρνουν τον έλεγχο από άλλα malware. Ακόμα δηλαδή κι αν καταφέρεις να το στήσεις η πιθανότητα να στο κλέψει κάποιος τρίτος που έχει φτιάξει καλύτερο από το δικό σου είναι πολύ μεγάλη.

[Andrew Geo]

elorant, με αποθαρρυνεις

το μονο πραγμα που εχω κανει με encryption είναι να μετατρεπω ​text σε hash (one way encryption δηλαδη) MD5 συγκεκριμένα.
​αν εφτιαχνα αντι για exe ένα dll το εβαζα στο registry με το regsvr32 και εκανα inject σε auto elevating process; ειχα δει αρθρα παλιοτερα πανω σ' αυτό αλλα αντε βρες τα παλι
 

 το ότι malware μπορει να ελεγχει malware το χα ξαναδιαβασει αλλα δεν ειχα δωσει σημασια. αν και πραγματικα δεν με ενδιαφερει γιατι οσο περιεργο και να ακούγεται καθαρη ερευνα είναι.
 

​αν και μαλακια μου που κανω τετοια ερευνα εξ' αρχης χωρις να εχω αρκετη εμπειρια σε low level programming (φαινεται και απ' το screenshot που χρησιμοποιώ vb για να αλλαξω value στο registry)

Ευχαριστω

​EDIT: υποθέτοντας ότι ο χρηστης ανοιγει μια εφαρμογή ως διαχειριστης, που φορτωνει ένα dll το οποιο βρίσκεται οπου εχει εγκατασταθεί η εφαρμογή..(π.χ. ένα παιχνιδι σε compatibility mode που φορτωνει το d3dx9_43) αν απλα κανω overwrite το d3dx9_43.dll με ένα δικο μου dll, με το ιδιο ονομα και αν χρειαζεται, μέγεθος, η εφαρμογή θα το τρεξει ή θα κανει συγκριση των hash του κανονικου dll με του δικου μου και θα βγαλει error; ή κατι τετοιο;
 

Επεξ/σία 20 Ιανουαρίου 2016 από Andrew Geo

[Επισκέπτης]

Καταρχήν γιατί έχεις κολλήσει με το θέμα του user access. Για πολλές από τις λειτουργίες των σύγχρονων Malware δεν χρειάζεσαι καν elevated access. Τι θα κάνεις, θα του φορμάρεις το δίσκο ή θα του κάνεις encrypt όλο το file system; Τα περισσότερα malware χρησιμοποιούνται για να χτυπάνε διευθύνσεις στο web (διαφημίσεις adsense και DDoS) κι αυτό το κάνεις με τα ελάχιστα δυνατά δικαιώματα. Και keylogger να στήσεις πάλι δεν χρειάζεσαι αυξημένα δικαιώματα.

 

Το πρόβλημα σου είναι τα antivirus που πλέον δουλεύουν με heuristics. Που σημαίνει ότι άπαξ και το antivirus σταμπάρει το hash του προγράμματος σου αν δεν το κάνεις repackage να αλλάξεις την υπογραφή τον ήπιες.

 

Εγώ δεν εξετάζω το γιατί ρωτάς οπότε δεν θα σου κάνω μαθήματα ηθικής. Απλά θα σου πω ότι μπαίνεις σε πολύ επικίνδυνα χωράφια γιατί πέρα από το θέμα της νομιμότητας, που εντάξει πες ότι το γράφεις στα παπάρια σου γιατί εσύ ξέρεις καλύτερα, πλέον με malware ασχολείται το οργανωμένο έγκλημα. Νομίζω, και δεν θέλω να σε προσβάλλω, ότι είναι κάπως αφελές στα όρια της ανοησίας να ρωτάς τέτοια πράγματα σε δημόσιο forum. Υπάρχουν συγκεκριμένα forum να ρωτήσεις σχετικά, όπως υπάρχει και το darknet.

 

Σε οποιαδήποτε περίπτωση μια καλή αρχή είναι να διαβάσεις τα ακόλουθα δύο βιβλία:

http://www.amazon.com/Windows-Internals-Part-Developer-Reference/dp/0735648735/

http://www.amazon.com/Windows-Internals-Part-Developer-Reference/dp/0735665877/

[Andrew Geo]

Εχω κολλησει με τα admin rights γιατι δεν εχω αποφασισει τι ακριβως θα κανει το malware.
​απλα αν δουλευε, θα ελεγα στον εαυτο μου "πωω φιλε μπραβο προχωρας καλα"
​για αυτο επιμενω

οσο για το repackaging, είναι κατι που ξεπερνα το τι εχω μαθει μεχρι τωρα
θα μπορουσα να δω κανα tutorial ή να βρω κανα source code αλλα θελω ο κωδικας να είναι εντελως δικος μου
​ισως να εβρισκα κατι από το msdn.
​
​οντως, το να γραφω σε τετοιο forum σχετικα με malware ή hacking είναι χαζο, ηλιθιο βασικα και το αναγνωρίζω (ειχε δικιο πιο πανω ο defacer). Λεγοντας απλα ότι είναι καθαρη ερευνα μπορει καποιος να μην το εννοει, αλλωστε δεν με ξερει και κανεις από 'δω μεσα ετσι;
Αλλα δεν ειχα σκεφτει ότι είναι τοσο σοβαρο γιατι ποτε δεν προοριζομουν να κανω κατι περα από την ερευνα μου.

​For God's Sake, όμως δεν προσβαλλομαι ετσι απλα, 16 χρονων μαντράχαλος, αλλωστε ξερω τι είμαι και τι δεν είμαι.


​Οσο για βιβλια, ημουν ετοιμος να ρωτησω
ειχα βρει αυτό: http://www.amazon.com/Practical-Malware-Analysis-Dissecting-Malicious/dp/1593272901

​Ευχαριστω, παλι