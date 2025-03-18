Windows Defender 应用程序控制 (WDAC) 是一种安全解决方案，可限制可信软件的执行。由于它被归类为安全边界，微软为符合条件的绕过漏洞提供漏洞赏金，使其成为一个活跃而竞争激烈的研究领域。
WDAC 绕过漏洞提交的典型处理结果如下：
查看微软的 WDAC 推荐阻止列表，可见 Jimmy Bayne（@bohops）和 Casey Smith（@subTee）等传奇人物发现的绕过漏洞虽未修复但获得了荣誉提名。除了该列表之外，LOLBAS 项目中还包含更多未被微软阻止列表收录的未修复绕过漏洞。例如 Microsoft Teams 应用程序，尽管已在 LOLBAS 文档中记录，至今仍是有效的 WDAC 绕过途径。
在红队行动中遭遇 WDAC 时，我们通过以下技术成功绕过并执行了第二阶段命令与控制（C2）载荷：
1. 使用已知 LOLBIN（如 MSBuild.exe）
2. 通过非受信 DLL 侧加载受信应用程序
3. 利用客户端 WDAC 策略中的自定义排除规则
4. 在支持命 C2 部署的可信应用程序中找到新执行链
正如 Ruben Boonen（@FuzzySec）在 Wild West Hackin' Fest 演讲《Statikk Shiv：利用 Electron 应用程序进行后期利用》中所阐释的，Electron 应用程序本质上是使用 HTML、JavaScript 和 CSS 等标准网页技术渲染桌面应用的网页浏览器。Electron 中的 JavaScript 引擎是 Node.js，它提供了能与主机操作系统交互的强大 API。这些 API 支持文件读写、程序执行等原生应用程序的典型操作。
运行时，Electron 应用程序会读取 JavaScript 文件，解释其代码并在 Electron 进程内执行。下面的动画演示了微软 Teams Electron 应用程序如何在运行时读取 JavaScript 文件，然后使用 child_process 模块执行 whoami.exe。
在此示例中，Teams Electron 进程读取 JavaScript 文件，然后使用 Child_process 模块生成 Whoami.exe。该模块触发 Electron 进程执行其导出的 API uv_spawn，该接口负责与操作系统交互以创建新进程。
Windows 应用程序的传统架构由以下部分组成：
可执行文件（EXE）通过调用 DLL 的导出函数来扩展自身能力。但是，Electron 应用程序颠覆了这一架构。Electron 的可执行文件本身会暴露 API 导出接口，而这些接口由以下两者调用：
这种结构使得 Node.js JavaScript 与 Node 模块能够以浏览器传统 JavaScript 无法实现的方式与操作系统交互。
在下图中，我们使用 @hasherezade 开发的优秀工具 PE Bear 分析 Teams 的 Electron 应用程序，发现 Teams 的 Electron 可执行文件包含 2,977 个导出 API。如此庞大的 API 接口为 Node.js JavaScript 文件和 Node 模块提供了丰富的功能，使其能够深度与操作系统交互。
由于 Electron 应用程序在运行时执行 JavaScript，攻击者可通过修改这些 JavaScript 文件将任意 Node.js 代码注入 Electron 进程。借助 Node.js 与 Chromium 的 API，JavaScript 代码便能与操作系统进行交互。
通过修改受信任 Electron 应用的 JavaScript 文件来执行任意 Node.js 代码的能力并非我的发现。我能找到的最早参考文献可追溯至 2022 年。
2022 年初，Andrew Kisliakov 发布了一篇博客文章，标题为《Microsoft Teams 及其他 Electron 应用程序作为 LOLbins 的利用》。Andrew 与 @mrd0x 已将其研究发现提交至 LOLBAS 项目。
2022 年末，Valentina Palmiotti (@chompie1337)、Ellis Springe (@knavesec) 和 Ruben 进一步探索了此方法，并开发出一款内部持久化工具，此后被应用于红队行动中。
同样在 2022 年，Michael Taggart 发布了 quASAR 项目，这是一款旨在修改 Electron 应用程序以实现命令执行的工具。他在博客《Quasar：攻陷 Electron 应用》中提到，2022 年 9 月 Electron 项目组成员曾联系他，表示完整性检查当时尚属实验性功能，有望在未来获得全面支持。
通过亲身测试 Signal 等新版 Electron 应用，我确认部分 Electron 应用已实施完整性检查，防止其 JavaScript 文件被篡改。但许多仍活跃分发的 Electron 应用依然存在漏洞。
该技术在现实世界的攻击活动中也已被观测到实际应用。2022 年，某威胁参与者通过在分发服务器上篡改 MiMi 聊天应用程序的捆绑 JavaScript 文件，对该应用实施了后门植入。Trend Micro 将此事件认定为一起供应链攻击，被入侵的 Electron 应用被分发给终端用户后，其中植入的恶意 JavaScript 代码会执行，进而下载并运行第二阶段的 C2 载荷。
2024 年 4 月，我（Bobby Cooke，@0xBoku）正为金融行业客户的即将进行的红队行动寻找新的执行链。该行业安全标准更高、监管更严，通常还实施了 WDAC 等额外安全控制措施。研究过程中，我发现了另一个存在漏洞的 Electron 应用。但由于其并非微软签名，很可能无法绕过客户的 WDAC 策略。
然后，我转向了旧版 Microsoft Teams 应用程序，该应用程序由 Microsoft 签名，甚至可以绕过最严格的 WDAC 策略。此时，Dylan Tran (@d_tranman) 加入探索，我们开始寻找从任意 Node.js JavaScript 执行升级到执行第二阶段 C2 shellcode 的方法。
虽然 Node.js 可通过其自身 API 与操作系统交互，但它并不具备 C 语言的完整功能，C 语言中开发者可直接调用 WINAPI 和 NTAPI。为弥补这一功能缺口，开发者开发了 Node 模块，以此扩展 Node.js 框架的能力。这类模块由 C++ 代码编译而成，既能调用 WINAPI、与 Node.js API 交互，也能在 Electron 应用内执行 JavaScript 代码。编译后的 Node 模块文件扩展名为 .node，并会通过 DLL 加载事件被载入 Windows 进程中。
在研究过程中，我们对多款 Electron 应用程序进行了检测，并分析了它们的已签名 Node 模块。研究发现，这些模块可通过 JavaScript 直接交互，这使得我们能够借助其内置功能。
虽然创建自定义 Node 模块来执行 shellcode 是可行方案（也是 Loki C2 的能力之一），但这陷入了“鸡生蛋”的困境：从 JavaScript 加载 Node 模块会触发 DLL 加载事件，而 WDAC 策略可强制执行严格规则来阻止未签名 DLL 的加载。幸运的是，大量合法 Electron 应用中存在已签名的 Node 模块。
这种执行载荷的方法看起来前景可观，因此我们与 Valentina 分享了发现，她也加入了探索。在她的协助下，我们深入逆向已签名的 Node 模块，寻找能执行任意 shellcode 的漏洞或内置功能。
具备实用功能的 Node 模块实例之一是 windows_process_tree.node，这是一个由 Microsoft 签名、捆绑于 Visual Studio Code 中的模块。通过 PE Bear 工具分析该模块时，可发现其导出了两个函数，具体如下所示。
与传统 DLL 不同，Node 模块不会在导出表中列出其所有可用函数。导出函数 napi_register_module_v1 会被 Electron 进程调用，该函数负责加载模块，并将模块的导出功能暴露给 Electron 进程。它充当了一座“桥梁”，使 Electron 进程内的 JavaScript 能够调用并与模块的函数进行交互。
列出 Node 模块中所有可调用函数的简便方法是使用以下 Node.js 代码：
在 PowerShell 中执行此 Node.js 脚本，我们看到 windows_process_tree.node 中有两个可调用函数：getProcessList 和getProcessCpuUsage。
通过持久分析，可以确定如何从 JavaScript 调用这些函数。Node.js 的一个局限是缺乏内置 API 来列举系统所有运行中的进程，这就是为什么 Microsoft 在此模块中引入了 getProcessList 函数，以扩展 VS Code Electron 应用程序的功能。
在 JavaScript 中可直接通过 child_process 模块在子进程中执行 PowerShell 来获取进程信息。下图展示了 Loki C2 生成 PowerShell 子进程以获取进程列表。
这种方式存在显著的操作安全风险。执行 PowerShell 子进程极易被检测到，会大幅增加攻击操作被标记或暴露的概率。为规避该问题，Loki C2 借助 windows_process_tree.node 等已签名 Node 模块来扩展 Node.js 的功能。
Loki C2 包含 ps 命令，该命令通过加载微软签名的 windows_process_tree.node 模块并调用 getProcessList 函数来获取进程信息（如下方图示）。
调用windows_process_tree.node 模块中的getProcessList 函数的 Loki C2 JavaScript 代码如下所示：getProcessList 以 JSON 格式返回流程数据，而 Loki C2 将这些数据格式化为结构化表格，以提高可读性。
由于 Node 模块的内部结构缺乏公开文档，要确定如何正确调用其内部函数颇具挑战性。不过，借助美国国家安全局 (NSA) 开发的 Ghidra 等逆向分析工具，并与 Valentina 等资深逆向工程师合作，我们已成功完成对这些模块的分析，明确了与它们的函数进行交互的具体方法。
Valentina 最终发现了无需加载未签名 DLL 即可执行第二阶段 C2 shellcode 的方法，具体细节将由她本人披露。Dylan、Valentina 与我共同优化了该技术，以确保其在后续钓鱼攻击中的稳定性。
遗憾的是，我们首轮邮件钓鱼攻击被蓝队报告并拦截。受挫后，Brett Hawkins（@h4wkst3r）与我开始筹备第二轮攻击。作为负责载荷的人员，我不希望重复使用相同载荷——那会让蓝队太容易追踪并阻止我们第二轮攻击。但由于时间不足，我们无法将 Valentina 的技术应用于新载荷，因此我开始采用替代方案开发新载荷。
通常情况下，在受信任的 Electron 应用中执行任意 JavaScript 的能力被用于部署 C2 代理的命令执行。但若不采用 Valentina 的技术，此方法在 WDAC 面前将失效，因为它最终需要执行未签名的程序（很可能被拦截）。
距离第二轮攻击行动仅剩数日准备时间，我当时萌生了一个想法：倘若我用 JavaScript 构建一整套完整的 C2 框架，会是怎样的结果？
如果 C2 代理完全由 JavaScript 编写，则即使面对最严格的 WDAC 策略也能建立 C2 通道。由此可进行侦察，寻找部署第二阶段 C2 载荷的途径。整个过程不会触发未签名 DLL 加载事件——所有 JavaScript 代码均在受信任的 Teams 进程内执行。
我们只需要足够的功能来：
基于研究中编写的所有 Node.js 代码，我连夜搭建了一个 C2 概念验证。次日与 Dylan 分享后，我们共同迅速将其扩展为功能完整的基于 JavaScript 的 C2 系统。我们构建的 C2 系统具备以下能力：
这款 JavaScript C2（即后来命名的 Loki C2）在第二轮攻击行动中取得了成功。此后我们持续完善并扩展 Loki C2，增加了更多功能，提升了稳定性并强化了各项能力。
基于此次研究中掌握的 Electron 知识，我使用 Electron 框架为 Loki C2 开发了图形用户界面。
下面的视频中演示如何使用 Loki C2 绕过严格的 WDAC 策略。以下两节将介绍视频中发生的事情。
本次演示在 AWS 最新版 Windows Server 2025 EC2 实例中，通过应用程序控制策略向导部署 WDAC。该向导提供三种基础策略模板：
其中默认 Windows 模式最为严格，仅允许执行以下程序：
演示中选择默认 Windows 模式策略，并禁用默认审计模式以使 WDAC 立即强制执行策略。同时勾选“合并推荐阻止列表”选项，该选项包含微软推荐的 WDAC 阻止列表规则。应用程序控制向导生成 WDAC 策略的 XML 与 CIP 文件后，通过 CITool.exe 将其部署至服务器。
WDAC 激活后，我尝试执行 Loki C2 Agent.exe，但由于该可执行文件未经微软签名，WDAC 将其拦截。
为绕过这一限制，我复制了 Loki 代理的 /resources/app/ 目录内容。桌面存在一个名为“teams”的文件夹，其中包含一个合法的旧版 Microsoft Teams 应用程序。查看 Teams.exe 的属性可确认，该文件已通过 Microsoft 的数字签名认证。
随后，我定位到 Teams 应用程序的 /resources/ 目录并删除所有现有文件。清空目录后，将先前复制的 Loki C2 Agent 的 /resources/app/ 目录粘贴至 ~/Desktop/teams/resources/app/ 路径。
经过上述修改后，我通过点击运行 Teams.exe。由于该 Teams 可执行文件带有 Microsoft 的数字签名，WDAC 不会对其进行拦截。在 System Informer 工具中可以看到，Teams 进程成功创建，且未受到 WDAC 的干预。但由于我已将 Teams 应用的 /resources/app/ 目录替换为 Loki C2 代理的代码，这款基于 Electron 框架的 Teams 应用如今会在可信的 Teams 进程内执行 Loki C2 代理的 JavaScript 恶意代码。
Teams 进程成功回连至 Loki C2 客户端，我通过执行多个命令展示了对被入侵服务器的远程控制能力。
通过 Loki C2 获得初始访问权限后，我们发现了多种执行能力更强的第二阶段 C2 代理（例如由 Shawn Jones @anthemtotheego 与我共同研发的内部 C2 Dragon）的方法。尽管本文不会披露自 Loki C2 诞生以来我们发现的所有不同升级方法，但我们计划在未来版本中逐步公开。
如果实施得当，这种技术可以继续绕过顶级端点检测和响应 (EDR) 解决方案。但若未配备隐蔽的第二阶段 C2，操作者将不得不依赖通过 spawn 执行的子进程命令，这会迅速触发主流 EDR 的入侵后行为检测。
Loki C2 工具符合 MITRE ATT&CK 攻击技术：T1218.011 - 系统二进制文件代理执行：Electron 应用程序。
经过网络检索，我尚未发现这种掏空 Electron 应用并替换为 C2 代码的技术被公开披露或在真实攻击中使用。但在将 Loki C2 分享给可信红队后，已有团队确认他们内部开发了类似能力。
尽管该技术已对应 MITRE ATT&CK 战术技术程序、有多篇研究论文发表且被收录至 LOLBAS 项目，但这种 Electron 应用程序中空化技术本身仍未被检测到。我的推测是，EDR 解决方案并未重点针对该技术本身进行检测，而是聚焦于漏洞利用后的行为指标（如创建子进程执行命令等）。由于我们已研发出在部署第二阶段 C2 时规避这些常见漏洞利用后检测的方法，因此成功在多个攻击行动中运用该技术，且未被发现。
综合以上所有分析，下次当你听到厂商宣称“100% 覆盖 MITRE ATT&CK 框架”时，值得深思这一说法背后的真正含义……
