UACME

• Umgehung der Windows-Benutzerkontensteuerung durch Missbrauch der integrierten Windows AutoElevate-Hintertür.

• x86-32/x64 Windows 7/8/8.1/10/11 (Client, einige Methoden funktionieren jedoch auch auf der Serverversion).
• Administratorkonto mit UAC-Standardeinstellungen erforderlich.

Führen Sie die ausführbare Datei über die Befehlszeile aus: akagi32 [Schlüssel] [Param] oder akagi64 [Schlüssel] [Param]. Weitere Informationen finden Sie weiter unten unter „Beispiele ausführen“.

Der erste Parameter ist die Nummer der zu verwendenden Methode, der zweite ist der optionale Befehl (Name der ausführbaren Datei einschließlich vollständigem Pfad), der ausgeführt werden soll. Der zweite Parameter kann leer sein. In diesem Fall führt das Programm cmd.exe mit erhöhten Rechten aus dem Ordner system32 aus.

Hinweis : Seit Version 3.5.0 gelten alle „festen“ Methoden als veraltet und wurden vollständig mit allen unterstützenden Codes/Einheiten entfernt. Wenn Sie sie noch benötigen, verwenden Sie den Zweig v3.2.x

Notiz:

• Methode (30) (63) und später nur in der x64-Version implementiert;
• Methode (30) erfordert x64, da sie die Funktion des WOW64-Subsystems missbraucht.
• Methode (55) ist nicht wirklich zuverlässig (wie alle GUI-Hacks) und nur zum Spaß enthalten.
• Methode (78) erfordert, dass das Passwort des aktuellen Benutzerkontos nicht leer sein darf.

Laufbeispiele:

• akagi32.exe 23
• akagi64.exe 61
• akagi32 23 c:windowssystem32calc.exe
• akagi64 61 c:windowssystem32charmap.exe

• Dieses Tool zeigt NUR beliebte UAC-Umgehungsmethoden, die von Malware verwendet werden, und implementiert einige davon auf andere Weise neu, um die ursprünglichen Konzepte zu verbessern. Es gibt verschiedene, der breiten Öffentlichkeit noch nicht bekannte Methoden. Seien Sie sich dessen bewusst;
• Dieses Tool ist nicht für AV-Tests gedacht und wurde nicht auf die Funktionsfähigkeit in einer aggressiven AV-Umgebung getestet. Wenn Sie es dennoch mit installierter Bloatware-AV-Software verwenden möchten, verwenden Sie es auf eigene Gefahr.
• Einige AV-Geräte kennzeichnen dieses Tool möglicherweise als HackTool, MSE/WinDefender markiert es ständig als Malware, nein;
• Wenn Sie dieses Programm auf einem echten Computer ausführen, denken Sie daran, nach der Verwendung alle Programmreste zu entfernen. Weitere Informationen zu Dateien, die in Systemordnern abgelegt werden, finden Sie im Quellcode.
• Die meisten Methoden wurden für x64 erstellt, ohne x86-32-Unterstützung im Auge zu behalten. Ich sehe keinen Sinn darin, 32-Bit-Versionen von Windows oder wow64 zu unterstützen, aber mit kleinen Änderungen laufen die meisten davon auch unter wow64.

Wenn Sie sich fragen, warum das immer noch existiert und funktioniert – hier ist die Erklärung – ein offizielles Whiteflag von Microsoft (einschließlich völlig inkompetenter Aussagen als Bonus) https://devblogs.microsoft.com/oldnewthing/20160816-00/?p=94105

• UACMe wurde nur mit LSTB/LTSC-Varianten (1607/1809) und den letzten RTM-1-Versionen getestet, z. B. wenn die aktuelle Version 2004 ist, wird sie auf 2004 (19041) und der Vorgängerversion 1909 (18363) getestet;
• Insider-Builds werden nicht unterstützt, da dort möglicherweise Methoden behoben werden.

• Konto ohne Administratorrechte.

• Wir übernehmen keine Verantwortung für die Verwendung dieses Tools zu böswilligen Zwecken. Es ist kostenlos, Open Source und wird AS-IS für jedermann bereitgestellt.

• Wird derzeit als „Signatur“ vom „THOR APT“-Scanner (handgefertigte Mustervergleichs-Betrugssoftware aus Deutschland) verwendet. Wir übernehmen keine Verantwortung für die Verwendung dieses Tools in der Betrugssoftware;
• Das Repository https://github.com/hfiref0x/UACME und seine Inhalte sind die einzige echte Quelle für UACMe-Code. Wir haben nichts mit externen Links zu diesem Projekt, Erwähnungen irgendwo sowie Modifikationen (Forks) zu tun;
• Im Juli 2016 veröffentlichte das sogenannte „Sicherheitsunternehmen“ Cymmetria einen Bericht über das Script-Kiddie-Malware-Bundle namens „Patchwork“ und markierte es fälschlicherweise als APT. Sie gaben an, dass es sich um die Verwendung der „UACME-Methode“ handelte, bei der es sich in Wirklichkeit nur um eine leicht und unprofessionell modifizierte Injektor-DLL von UACMe v1.9 handelte, und dass die Carberp/Pitou-Hybridmethode auf selbstimplementierte Weise von Malware verwendet wurde. Wir übernehmen keine Verantwortung für die Verwendung von UACMe in dubiosen Werbekampagnen Dritter „Sicherheitsunternehmen“.

• UACMe wird mit vollständigem Quellcode geliefert, geschrieben in C;
• Zum Erstellen aus dem Quellcode benötigen Sie Microsoft Visual Studio 2019 und spätere Versionen.

• Sie werden seit 2.8.9 nicht mehr bereitgestellt und werden auch in Zukunft nicht mehr bereitgestellt. Die Gründe (und warum auch Sie sie nicht der Öffentlichkeit zugänglich machen sollten):
  • Wenn man dieses Projekt auf den Punkt bringt, handelt es sich um ein HackTool, trotz des ursprünglichen Ziels, ein Demonstrator zu sein. Natürlich erkennen mehrere AVs es als HackTool (z. B. MS WD), die meisten VirusTotal-Patienten erkennen es jedoch als generische „Malware“. Das ist natürlich falsch, aber leider kopieren und fügen einige faule Malware-Autoren Code blind in ihre Crapware ein (oder verwenden dieses Tool einfach direkt), sodass einige AV-Signaturen auf der Grundlage von Projektcodeteilen erstellt wurden;
  • Indem Sie jedem kompilierte Binärdateien zur Verfügung stellen, machen Sie das Leben von Script-Kiddies viel einfacher, da die Notwendigkeit, aus dem Quellcode zu kompilieren, eine perfekte Barriere für außergewöhnlich dumme Script-Kiddies und „Button-Clicker“ darstellt;
  • Das Kompilieren von Binärdateien im Repository führt letztendlich dazu, dass diese Repository-Seiten (aus den oben genannten Gründen) von verschiedenen Inhaltsfiltern (SmartScreen, Google Safe Browsing usw.) als bösartig gekennzeichnet werden.
• Diese Entscheidung ist endgültig und wird nicht geändert.

• Wählen Sie zuerst Platform ToolSet für das Projekt in der Lösung aus, die Sie erstellen möchten (Projekt->Eigenschaften->Allgemein):

  • v142 für Visual Studio 2019;
  • v143 für Visual Studio 2022.

• Für v140 und höher legen Sie die Zielplattformversion fest (Projekt->Eigenschaften->Allgemein):

  • Wenn v140, dann wählen Sie 8.1 (Beachten Sie, dass Windows 8.1 SDK installiert sein muss);
  • Wenn v141 und höher, wählen Sie 10.

• Für die Erstellung der Binärdateien ist das folgende SDK erforderlich:

  • Windows 8.1 oder Windows 10 SDK (getestet mit Version 19041)
  • NET Framework SDK (getestet mit Version 4.8)

• So erstellen Sie eine funktionierende Binärdatei:

  • Kompilieren Sie Nutzlasteinheiten
  • Kompilieren Sie das Naka-Modul
  • Verschlüsseln Sie alle Nutzlasteinheiten mit dem Naka-Modul
  • Generieren Sie geheime Blobs für diese Einheiten mit dem Naka-Modul
  • Verschieben Sie kompilierte Einheiten und geheime Blobs in das Verzeichnis AkagiBin
  • Akagi wieder aufbauen

• Windows 7 UAC-Whitelist, http://www.pretentiousname.com/misc/win7_uac_whitelist2.html
• Kompatibilitäts-Shims für bösartige Anwendungen, https://www.blackhat.com/docs/eu-15/materials/eu-15-Pierce-Defending-Against-Malicious-Application-Compatibility-Shims-wp.pdf
• Junfeng Zhang vom Blog des WinSxS-Entwicklerteams, https://blogs.msdn.microsoft.com/junfeng/
• Jenseits des guten alten Run-Schlüssels, Artikelserie, http://www.hexacorn.com/blog
• KernelMode.Info UACMe-Thread, https://www.kernelmode.info/forum/viewtopicf985.html?f=11&t=3643
• Command Injection/Elevation – Umgebungsvariablen überarbeitet, https://breakingmalware.com/vulnerabilities/command-injection-and-elevation-environment-variables-revisited
• „Fileless“ UAC-Umgehung mit eventvwr.exe und Registry-Hijacking, https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/
• UAC unter Windows 10 mithilfe der Datenträgerbereinigung umgehen, https://enigma0x3.net/2016/07/22/bypassing-uac-on-windows-10-using-disk-cleanup/
• Verwenden Sie IarpuninstallStringlauncher COM -Schnittstelle zur Umgehung von UAC, http://www.freebuf.com/articles/system/116611.html
• Umgehende UAC unter Verwendung von App-Pfaden, https://enigma0x3.net/2017/03/14/bypassing-uac-using-app-paths/
• "Fileless" UAC Bypass mit sdclt.exe, https://enigma0x3.net/2017/03/17/fileless-uac-bypass-using-sdclt-exe/
• UAC Bypass oder Geschichte über drei Eskalationen, https://habrahabr.ru/company/pm/blog/328008/
• Umgebungsvariablen in geplanten Aufgaben für UAC-Bypass, https://tyranidslair.blogspot.ru/2017/05/exploiting-nironment-variables-in.html
• Erster Eintrag: Begrüßung und fillose UAC-Bypass, https://winscripting.blog/2017/05/12/first-entry-welcome--uac-bypass/
• Lesen Sie sich in 3 Teilen um UAC:
  1. https://yranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-te-part-1.html
  2. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-te-part-2.html
  3. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-part-3.html
• Forschung zu cmstp.exe, https://msitpros.com/?p=3960
• UAC-Bypass über erhöhte .NET-Anwendungen, https://offsec.provadys.com/uac-bypass-dotnet.html
• UAC-Bypass von Mocking Controled Directories, https://medium.com/tenable-techblog/uac-bypass-by-mocking-traustd-directories-24a96675f6e
• Ein weiterer SDCLT-UAC-Bypass, http://blog.sevagas.com/?yet-another-sdclt-uac-bypass
• UAC-Bypass über SystemPropertiesAdvanced.exe und DLL Hijacking, https://egre55.github.io/system-properties-uac-bypass/
• Zugriff auf Zugangsanfänger für UIACCES
• Fileless uac Bypass in Windows Store Binary, https://www.activecyber.us/1/post/2019/03/windows-uac-bypass.html
• Rufen Sie lokale Windows-RPC-Server von .NET, https://googleprojeczero.blogspot.com/2019/12/calling-local-windows-rpc-servers-from.html an
• Microsoft Windows 10 UAC Bypass Local Privilege Escalation Exploit, https://packetstormsecurity.com/files/155927/microsoft-windows-10-local-privilege-escalation.html
• UACME 3.5, WD und die Wege der Minderung, https://swapcontext.blogspot.com/2020/10/uacme-35-wd-ways-of-mitigation.html
• UAC-Umgehende von Comauto Approvallist, https://swapcontext.blogspot.com/2020/11/uac-bypasse-from-comautoappallist.html
• Verwendung programmatischer Identifikatoren (Progids) für UAC-Umgehende, https://v3ded.github.io/redteam/utilizing-programmatic-identifiers-progids-for-uac-bypasses
• Msdt dll hijack uac bypass, https://blog.sevagas.com/?msdt-dll-hijack-uac-bypass
• UAC Bypass über .NET Deserialization Schwachstellen in Eventvwr.exe, https://twitter.com/orange_8361/status/1518970259868626944
• Erweiterte Windows -Task -Scheduler -Playbook - Teil.2 von com zu uac Bypass und system direkt
• Umgehende UAC mit SSPI-Datagrammkontexten, https://splintercod3.blogspot.com/p/bypassing-uac-with-sspi-datagram.html
• Einige Exploits für Windows'® UAC, https://skanthak.hier-im-netz.de/uacamole.html mildern

(c) 2014 - 2024 UACME -Projekt