UACME

• Derrotar el control de cuentas de usuario de Windows abusando de la puerta trasera integrada de Windows AutoElevate.

• x86-32/x64 Windows 7/8/8.1/10/11 (cliente, pero algunos métodos también funcionan en la versión del servidor).
• Se requiere una cuenta de administrador con UAC configurado en la configuración predeterminada.

Ejecute el ejecutable desde la línea de comando: akagi32 [Clave] [Param] o akagi64 [Clave] [Param]. Consulte "Ejemplos de ejecución" a continuación para obtener más información.

El primer parámetro es el número de método a utilizar, el segundo es el comando opcional (nombre del archivo ejecutable, incluida la ruta completa) a ejecutar. El segundo parámetro puede estar vacío; en este caso, el programa ejecutará cmd.exe elevado desde la carpeta system32.

Nota : Desde la versión 3.5.0, todos los métodos "fijos" se consideran obsoletos y se eliminan por completo con todo el código/unidades de soporte. Si aún los necesita, utilice la rama v3.2.x

Nota:

• Método (30) (63) y posteriores implementados solo en la versión x64;
• El método (30) requiere x64 porque abusa de la característica del subsistema WOW64;
• El método (55) no es realmente confiable (como cualquier truco de GUI) y se incluye solo por diversión;
• El método (78) requiere que la contraseña de la cuenta de usuario actual no esté en blanco.

Ejecutar ejemplos:

• akagi32.exe 23
• akagi64.exe 61
• akagi32 23 c:windowssystem32calc.exe
• akagi64 61 c:windowssystem32charmap.exe

• Esta herramienta muestra SÓLO el método popular de omisión de UAC utilizado por el malware y vuelve a implementar algunos de ellos de una manera diferente, mejorando los conceptos originales. Existen diferentes métodos, aún desconocidos por el público en general. Tenga en cuenta esto;
• Esta herramienta no está diseñada para pruebas AV y no se ha probado para funcionar en entornos AV agresivos. Si todavía planea usarla con el software AV bloatware instalado, úselo bajo su propio riesgo;
• Algunos AV pueden marcar esta herramienta como HackTool, MSE/WinDefender la marca constantemente como malware, no;
• Si ejecuta este programa en una computadora real, recuerde eliminar todos los restos del programa después de su uso; para obtener más información sobre los archivos que se colocan en las carpetas del sistema, consulte el código fuente;
• La mayoría de los métodos creados para x64, sin compatibilidad con x86-32. No veo ningún sentido en soportar versiones de 32 bits de Windows o wow64, sin embargo, con pequeños ajustes, la mayoría de ellas también funcionarán bajo wow64.

Si se pregunta por qué esto todavía existe y funciona, aquí está la explicación: una BANDERA BLANCA oficial de Microsoft (que incluye declaraciones totalmente incompetentes como bonificación) https://devblogs.microsoft.com/oldnewthing/20160816-00/?p=94105

• UACMe probó solo con variantes LSTB/LTSC (1607/1809) y las últimas versiones RTM-1; por ejemplo, si la versión actual es 2004, se probará en 2004 (19041) y la versión anterior 1909 (18363);
• Las compilaciones internas no son compatibles ya que los métodos pueden corregirse allí.

• Cuenta sin privilegios administrativos.

• No asumimos ninguna responsabilidad por el uso de esta herramienta con fines maliciosos. Es gratuito, de código abierto y se proporciona TAL CUAL para todos.

• Actualmente utilizado como "firma" por el escáner "THOR APT" (software fraudulento de coincidencia de patrones hecho a mano de Alemania). No asumimos ninguna responsabilidad por el uso de esta herramienta en el software fraudulento;
• El repositorio https://github.com/hfiref0x/UACME y su contenido son la única fuente genuina del código UACMe. No tenemos nada que ver con enlaces externos a este proyecto, menciones en cualquier lugar así como modificaciones (bifurcaciones);
• En julio de 2016, la llamada "compañía de seguridad" Cymmetria publicó un informe sobre un paquete de malware script-kiddie llamado "Patchwork" y lo marcó falsamente como APT. Dijeron que estaba usando el "método UACME", que de hecho es solo un archivo dll de inyector ligeramente modificado de manera poco profesional de UACMe v1.9 y que estaba usando el método híbrido Carberp/Pitou en forma de malware autoimplementado. No asumimos ninguna responsabilidad por el uso de UACMe en campañas publicitarias dudosas de "empresas de seguridad" de terceros.

• UACMe viene con código fuente completo, escrito en C;
• Para compilar desde el código fuente, necesita Microsoft Visual Studio 2019 y versiones posteriores.

• No se proporcionan desde la versión 2.8.9 y nunca se proporcionarán en el futuro. Las razones (y por qué usted tampoco debería proporcionarlas al público en general):
  • Si miras este proyecto en pocas palabras, es una HackTool, a pesar del objetivo inicial de ser un demostrador. Por supuesto, varios antivirus lo detectan como HackTool (MS WD, por ejemplo), sin embargo, la mayoría de los pacientes de VirusTotal lo detectan como "malware" genérico. Lo cual, por supuesto, es incorrecto; sin embargo, desafortunadamente, algunos escritores de malware perezosos copian y pegan código a ciegas en su software basura (o incluso simplemente usan esta herramienta directamente), por lo que algunos AV crearon firmas basadas en partes del código del proyecto;
  • Al proporcionar archivos binarios compilados a todos, usted hace la vida de los script-kiddies mucho más fácil porque tener la necesidad de compilar desde el código fuente funciona como una barrera perfecta para los script-kiddies excepcionalmente tontos y los que "hacen clic en botones";
  • Tener archivos binarios compilados en el repositorio conducirá en última instancia a marcar las páginas de este repositorio como maliciosas (debido a las razones anteriores) mediante varios filtros de contenido (SmartScreen, Google Safe Browsing, etc.).
• Esta decisión es definitiva y no se modificará.

• Seleccione Platform ToolSet primero para el proyecto de la solución que desea crear (Proyecto->Propiedades->General):

  • v142 para Visual Studio 2019;
  • v143 para Visual Studio 2022.

• Para v140 y superiores, establezca la versión de la plataforma de destino (Proyecto->Propiedades->General):

  • Si es v140, seleccione 8.1 (tenga en cuenta que se debe instalar el SDK de Windows 8.1);
  • Si es v141 y superior, seleccione 10.

• Se requiere el siguiente SDK para crear los archivos binarios:

  • SDK de Windows 8.1 o Windows 10 (probado con la versión 19041)
  • NET Framework SDK (probado con la versión 4.8)

• Para construir un binario que funcione:

  • Compilar unidades de carga útil
  • Compilar el módulo Naka
  • Cifre todas las unidades de carga útil utilizando el módulo Naka
  • Genere blobs secretos para estas unidades usando el módulo Naka
  • Mover unidades compiladas y blobs secretos al directorio AkagiBin
  • Reconstruir Akagi

• Lista blanca de UAC de Windows 7, http://www.pretentiousname.com/misc/win7_uac_whitelist2.html
• Calzas de compatibilidad de aplicaciones maliciosas, https://www.blackhat.com/docs/eu-15/materials/eu-15-Pierce-Defending-Against-Malicious-Application-Compatibility-Shims-wp.pdf
• Junfeng Zhang del blog del equipo de desarrollo de WinSxS, https://blogs.msdn.microsoft.com/junfeng/
• Más allá de la buena y vieja clave Run, serie de artículos, http://www.hexacorn.com/blog
• Hilo KernelMode.Info UACMe, https://www.kernelmode.info/forum/viewtopicf985.html?f=11&t=3643
• Inyección/elevación de comandos: variables de entorno revisadas, https://breakingmalware.com/vulnerabilities/command-injection-and-elevation-environment-variables-revisited
• Omisión de UAC "sin archivos" mediante eventvwr.exe y secuestro de registro, https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/
• Omitir UAC en Windows 10 usando el Liberador de espacio en disco, https://enigma0x3.net/2016/07/22/bypassing-uac-on-windows-10-using-disk-cleanup/
• Uso de la interfaz iarpuninstallstringlauncher com para omitir UAC, http://www.freebuf.com/articles/system/116611.html
• Omitiendo UAC usando rutas de aplicaciones, https://enigma0x3.net/2017/03/14/bypassing-uac-using-app-paths/
• "Fileless" UAC Bypass usando sdclt.exe, https://enigma0x3.net/2017/03/17/fileless-uac-bypass-using-sdclt-exe/
• UAC bypass o historia sobre tres escaladas, https://habrahabr.ru/company/pm/blog/328008/
• Explotación de variables de entorno en tareas programadas para UAC Bypass, https://tyranidslair.blogspot.ru/2017/05/exploiting-environment-variables-in.html
• Primera entrada: Bypass de UAC bienvenido y Fileless, https://winscripting.blog/2017/05/12/first-entry-welcome-and-uac-bypass/
• Leyendo a su camino alrededor de UAC en 3 partes:
  1. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-part-1.html
  2. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-igound-uac-tart-2.html
  3. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-tart-3.html
• Investigación en cmstp.exe, https://msitpros.com/?p=3960
• UAC Bypass a través de aplicaciones elevadas de .NET, https://offsec.provadys.com/uac-bypass-dotnet.html
• UAC Bypass burlándose de directorios de confianza, https://medium.com/tenable-techblog/uac-bypass-by-mocking-trusted-directories-24a96675f6e
• Otro sdclt uac bypass, http://blog.sevagas.com/?yet-another-sdclt-uac-bypass
• UAC Bypass a través de SystemPropertiesAdvanced.exe y Dll Hijacking, https://egre55.github.io/system-properties-uac-bypass/
• Acceso a los tokens de acceso para Uiaccess, https://tyranidslair.blogspot.com/2019/02/accessing-access-tokens-for-uiaccess.html
• Fileless UAC Bypass en Windows Store Binary, https://www.activecyber.us/1/post/2019/03/windows-uac-bypass.html
• Llamar a los servidores RPC de Windows locales desde .net, https://googleprojectzero.blogspot.com/2019/12/calling-local-windows-rpc-servers-from.html
• Microsoft Windows 10 UAC Bypass Privilegio local Exploit de escalada, https://packetstormsecurity.com/files/155927/microsoft-windows-10-local-pivilege-escalation.html
• UaCme 3.5, WD y las formas de mitigación, https://swapcontext.blogspot.com/2020/10/uacme-35-wd-and-ways-of-mitigation.html
• UAC se pasa por alto de ComautoApprovallist, https://swapcontext.blogspot.com/2020/11/uac-bypasses-from-comutoapprovallist.html
• Utilización de identificadores programáticos (progids) para los omitidos de UAC, https://v3ded.github.io/redteam/utilizing-programmatic-identificadores-progids-for-uac-bypasses
• Msdt dll hijack uac bypass, https://blog.sevagas.com/?msdt-dll-hijack-uac-bypass
• UAC Bypass a través de la vulnerabilidad de la deserialización .NET en eventvwr.exe, https://twitter.com/orange_8361/status/1518970259868626944
• Playbook avanzado de programador de tareas de Windows - Part.2 de com a UAC Bypass and Get System directamente, http://www.zcgonvh.com/post/advanced_windows_task_scheduler_playbook-Part.2_from_com_to_uac_bypass_and_get_dirtectly.htmlll
• Omitiendo UAC con contexts de datagrama SSPI, https://splintercod3.blogspot.com/p/bypassing-uac-with-spi-datagram.html
• Mitigia algunos exploits para Windows'® UAC, https://skanthak.hier-im-netz.de/uacamole.html

(c) Proyecto 2024 UACME