Den Malware, der Gemmer sig i Din Windows System32: Certutil og Alternate Data Streams

Vi kan ikke lide at tænke på, at de centrale Vindue binære filer på vores servere, der er forklædt malware, men det er ikke sådan en mærkelig idé., OS-værktøjer som regsrv32 og mshta (LoL-wareare) svarer til den ikke-virtuelle verden af haveværktøjer og trinladdere, der er tilbage i nærheden af køkkenvinduet. Sikker på, at disse værktøjer er nyttige til arbejde omkring gården, men desværre kan de også udnyttes af de onde.for eksempel HTML-applikation eller MTV, som jeg skrev om sidste gang. På et tidspunkt var det et nyttigt udviklingsværktøj, der gjorde det muligt for IT-folk at udnytte HTML og JavaScript eller VBScript til at oprette appebby-apps (uden al bro .serchrome). Det var tilbage i de tidlige ‘ aughts.,

Microsoft understøtter ikke længere MTV, men de forlod den underliggende eksekverbare, mshta.e .e, liggende på virtualindo .s’ virtuelle græsplæne – mappen \indo .s\System32.

og hackere har kun været for ivrige efter at drage fordel af det. For at gøre tingene værre, på alt for mange Windowsindo .s-installationer, den .MTV filtypenavnet er stadig forbundet med mshta., En phishmail offer, der modtager en .hta vedhæftede filer, vil automatisk starte app, hvis hun klikker på det.

selvfølgelig skal du gøre mere end bare at adskille .HTA-udvidelse for at stoppe alle angreb-se for eksempel mitigationindo .s fire .all-afbødning i det forrige indlæg. For spark, jeg forsøgte direkte at udføre en .mtv-fil ved hjælp af mshta, og du kan se resultatet nedenfor:

det fungerede fint.,

I en ubehagelig situation, hvor angriberen er allerede på ofrets computer, så kunne hun hente den næste fase bruger siger krølle, wget, eller PowerShell er DownloadString, og derefter køre den indbyggede JavaScript med mshta.men hackere er alt for kloge til at afsløre, hvad de laver gennem indlysende filoverførselskommandoer! Hele pointen med at leve af jorden ved hjælp af eksisterende binindo .s binære filer er at skjule aktiviteter.

Certutil og Curl-free Remote do .nloading

dette fører til certutil, som er endnu en binaryindo .s binær, der tjener dobbelt formål., Dens funktion er at dumpe, vise og konfigurere certification authority (CA) oplysninger. Du kan læse mere om det her.

i 2017 fandt Casey Smith, den samme infosec-forsker, der fortalte os om risiciene i regsrv32, en dobbelt anvendelse til certutil. Smith bemærkede, at certutil kan bruges til at do .nloade en ekstern fil.

Det er ikke helt overraskende, da certutil har eksterne kapaciteter, men det er tydeligvis ikke kontrol formatet for den fil, der effektivt at dreje certutil ind i LoL-ware version af krøller.

som det viser sig, var hackere langt foran forskerne. Det blev rapporteret, at brasilianere har brugt certutil i nogen tid.,

Så hvis hackere får shell-adgang via sige, et SQL-injection angreb, de kan bruge certutil at hente, siger en remote PowerShell script til at fortsætte angrebet — uden at udløse nogen virus eller malware scannere, der søger for indlysende hacking værktøjer.

Skjul eksekverbare med alternative datastrømme (annoncer)

kan angriberne blive endnu stealthier? Desværre Ja!

den utroligt kloge Oddvar Moe har en stor post på alternative datastrømme, og hvordan det kan bruges til at skjule Mal .are scripts og eksekverbare i en fil.,

annoncer var Microsofts svar på at understøtte kompatibilitet med Apple Mcintoshs filsystem. I Mac wordord har Filer en masse metadata ud over regelmæssige data, der er knyttet til dem. For at gøre det muligt at gemme disse metadata i Windowsindo .s oprettede Microsoft annoncer.

for eksempel kan jeg gøre noget som dette:

på en første anmeldelse kan det se ud som om jeg styrer teksten til min .MTV-fil i ” ting.t “t”.

se nærmere på ovenstående skærmbillede, og bemærk “:evil.ps1″, der er tacked på. Og skift derefter dit fokus til størrelsen på ” ting.t “t”: det forbliver på 0 bytes!

Hvad skete der med den tekst, jeg rettede ind i filen? Det er skjult i annoncer del af fileindo .s-filsystemet. Det viser sig, at jeg direkte kan køre scripts og binære filer, der hemmeligt holdes i annoncer del af filsystemet.,

og en ting mere

Vi tager et dybere dykke ind i annoncer næste gang. Jo større punkt er det høje niveau af stealthiness man kan opnå med LOL tilgang til hacking. Der er andre binære filer, der tjener dual masters, og du kan finde en komplet liste over dem på github.

for eksempel er der en klasse af binindo .s — binære filer — for eksempel esentutil, e .trac32 og andre-der fungerer som et filkopieringsværktøj. Med andre ord behøver angriberen ikke nødvendigvis at afsløre sig selv ved at bruge den åbenlyse commandindo .s “copy” – kommando.,

så sikkerhedsdetekteringssoft .are, der er baseret på scanning af Eventindo .s-hændelsesloggen, der leder efter de sædvanlige commandsindo .s-filkommandoer, vil savne luskede LoL-baserede hackerfilaktivitet.

lektionen er, at du har brug for en sikkerhedsplatform, der kan analysere ra. – filsystemaktiviteten for at bestemme, hvad der virkelig foregår. Og så underrette din sikkerhed team, når den registrerer usædvanlig adgang til de underliggende filer og mapper.

skræmmer lol-approachare-tilgangen til hacking dig, bare lidt? Vores Varonis Datasikkerhedsplatform kan se, hvad hackerne ikke ønsker, at du skal se. Læn dig mere!