โพสต์นี้เป็นการสรุปมาจาก blog https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/ นะครับ ว่าด้วยเรื่องการหาช่องทาง bypass UAC(User Account Control) ซึ่งจริงๆแล้ว ณ ปัจจุบันมีหลายวิธีมากมาย Link ดังกล่าวข้างต้นก็เป็นการ bypass UAC ช่องทางหนึ่งโดยใช้ผ่านทาง eventvwr.exe นั่นเองครับ
1. Signed binary โดย Microsoft เองจะมีบาง binary ที่จะ auto-elevate โดยดูได้โดยใช้ sigcheck ซึ่งเป็น app ที่อยู่ใน Sysinternal Suite ซึ่งพบว่า Event Viewer (eventvwr.exe) มีลักษณะที่เป็น auto-elevate อยู่
eventvwr_manifest
2. พฤติกรรมของ eventvwr.exe เมื่อมีการสั่งรัน program สิ่งที่ eventvwr.exe ทำคือไป query registry ชื่อว่า HKCU\Software\Classes\mscfile\shell\open\command จากนั้นจึงไป query registry HKCR\mscfile\shell\open\command
3. หากเรากำหนดค่าใน HKCR\mscfile\shell\open\command ให้เป็นคำสั่งที่เราต้องการ ก็จะกลายเป็นว่า eventvwr.exe จะรันคำสั่งนั้นๆ
mscfile_key_hijack
4. ดังนั้นหากเรากำหนดค่าใน registry เป็น malicious command ก็จะกลายเป็นว่าเราสามารถรันคำสั่งนั้นโดย bypass UAC ไปได้นั่นเองครับ