Tento článek je součástí série „Living off the Land With Microsoft“. Podívejte se na zbytek:
- Master Fileless Malware Penetration Testing!,lware Skrývá v počítači se systémem Windows System32: Úvod do Regsvr32
- Malware Skrývá v počítači se systémem Windows System32: Mshta, HTA, a Ransomware
- Malware Skrývá v počítači se systémem Windows System32: Certutil a Alternativní Datové Proudy
- Malware Skrývá v počítači se systémem Windows System32: Více Alternativní Datové Proudy a Rundll32
- Malware Skrývá v počítači se systémem Windows System32: Více Rundll32 a LoL Zabezpečení Obrany Tipy
nechceme si myslím, že hlavní Okno binární soubory na našich serverech jsou maskované malware, ale to není takový divný nápad., OS nástroje, jako jsou regsrv32 a mshta (LoL-ware) jsou ekvivalentní v non-virtuální svět, zahradní nářadí a schůdky vlevo u okna v kuchyni. Jistě, tyto nástroje jsou užitečné pro práci kolem dvora, ale bohužel mohou být také využívány padouchy.
například HTML aplikace nebo HTA, o kterých jsem psal Naposledy. V jednu chvíli to byl užitečný vývojový nástroj, který umožnil lidem využívat HTML a JavaScript nebo VBScript k vytváření aplikací webby (bez prohlížeče chrome). To bylo zpátky v časných ‚ aughts.,
Získejte Zdarma Pero Testovací Prostředí služby Active Directory EBook
Microsoft již nepodporuje HTA, ale opustili základní spustitelný soubor, mshta.exe, ležící na virtuálním trávníku Windows-Složka Windows \ System32.
a hackeři byli příliš dychtiví, aby toho využili. Aby to bylo ještě horší, na příliš mnoha instalacích Windows, the .přípona souboru hta je stále spojena s mshta., Phishmail oběť, která obdrží .přílohy souborů hta, automaticky spustí aplikaci, pokud na ni klikne.
samozřejmě budete muset udělat víc ,než jen oddělit.rozšíření hta pro zastavení všech útoků-viz například zmírnění brány Firewall systému Windows v předchozím příspěvku. Pro kopy, snažil jsem se přímo vykonávající .hta soubor pomocí mshta, a můžete vidět výsledky níže:
fungovalo to dobře.,
V hacking scénář, kdy útočník je již v počítači, by mohla stáhnout další fáze pomocí říkají, curl, wget, nebo PowerShell je DownloadString, a pak spustit vložený JavaScript s mshta.
ale hackeři jsou příliš chytří na to, aby odhalili, co dělají prostřednictvím zřejmých příkazů pro přenos souborů! Celý smysl života mimo zemi pomocí stávajících binárních oken je skrýt aktivity.
Certutil a Curl-Free vzdálené stahování
to vede k certutil, což je další binární systém Windows, který slouží dvojím účelům., Jeho funkcí je výpis, zobrazení a konfigurace informací certifikační autority (CA). Více si o tom můžete přečíst zde.
v roce 2017 našel Casey Smith, stejný výzkumník infosec, který nám řekl o rizicích v regsrv32, dvojí použití pro certutil. Smith si všiml, že certutil lze použít ke stažení vzdáleného souboru.
To není zcela překvapivé, protože certutil má dálkové schopnosti, ale to je zjevně není kontrola formátu souboru — účinně obrací certutil do LoL-ware verze curl.
jak se ukázalo, hackeři byli daleko před vědci. Bylo oznámeno, že Brazilci již nějakou dobu používají certutil.,
Takže, když hackeři získat přístup shell prostřednictvím, řekněme, SQL injection útok, mohou použít certutil ke stažení, řekněme, vzdáleného PowerShell skript pokračovat v útoku — bez spuštění virus nebo malware skenery vyhledávání pro zřejmé hackerské nástroje.
Skrytí spustitelných souborů s alternativními datovými toky (ADS)
mohou se útočníci ještě více ukrást? Bohužel ano!
úžasně chytrý Oddvar Moe má skvělý příspěvek na alternativní datové proudy, a jak to může být použit ke skrytí malware skripty a spustitelné soubory v souboru.,
reklamy byly odpovědí společnosti Microsoft na podporu kompatibility se souborovým systémem Apple McIntosh. V aplikaci Mac word mají soubory kromě běžných dat s nimi spojených spoustu metadat. Aby bylo možné tato metadata uložit do systému Windows, společnost Microsoft vytvořila reklamy.
například, mohu udělat něco jako toto:
při první recenzi by to mohlo vypadat, jako bych režíroval text mého .hta soubor do “ věci.txt“.
podívejte se blíže na výše uvedený snímek obrazovky a všimněte si „:evil.ps1″, který je připojen. A pak přesuňte své zaměření na velikost “ věci.txt“: zůstává na 0 bajtech!
co se stalo s textem, který jsem nasměroval do souboru? Je skrytý v části reklam systému souborů Windows. Ukazuje se, že mohu přímo spouštět skripty a binární soubory, které jsou tajně drženy v části reklam systému souborů.,
a ještě jedna věc
příště se hlouběji ponoříme do reklam. Větším bodem je vysoká úroveň stealthiness, kterou lze dosáhnout přístupem LoL k hackování. Existují i jiné binární soubory, které slouží duální mistrů, a můžete najít kompletní seznam z nich na github.
například existuje třída binárních souborů Windows — například esentutil, extrac32 a další-který funguje jako nástroj pro kopírování souborů. Jinými slovy, útočníci se nemusí nutně odhalit pomocí zřejmého příkazu Windows „copy“.,
takže software pro detekci zabezpečení, který je založen na skenování protokolu událostí systému Windows, který hledá obvyklé příkazy souboru Windows, bude chybět záludná aktivita hackerů založená na LoL.
lekce je, že potřebujete, ehm, bezpečnostní platformu, která může analyzovat aktivitu systému souborů raw, abyste zjistili, co se skutečně děje. A pak informujte svůj bezpečnostní tým, když zjistí neobvyklý přístup k podkladovým souborům a adresářům.
má Lol-ware přístup k hackování vyděsit vás, jen trochu? Naše platforma pro zabezpečení dat Varonis může zjistit, co hackeři nechtějí, abyste viděli. Opřete se víc!