Die Malware versteckt sich in Ihrem Windows-System32-Ordner: Certutil und alternative Datenströme

Wir denken nicht gerne, dass die Kernfenster-Binärdateien auf unseren Servern getarnte Malware sind, aber es ist keine so seltsame Idee., OS-Tools wie regsrv32 und mshta (LOL-Ware) sind das Äquivalent in der nicht virtuellen Welt der Gartengeräte und Stepladder in der Nähe des Küchenfensters. Sicher, diese Werkzeuge sind nützlich für die Arbeit rund um den Hof, aber leider können sie auch von den bösen Jungs ausgenutzt werden.

Zum Beispiel HTML Application oder HTA, über die ich letztes Mal geschrieben habe. An einem Punkt war es ein nützliches Entwicklungstool, das es den IT-Leuten ermöglichte, HTML und JavaScript oder VBScript zu nutzen, um Webby-Apps zu erstellen (ohne das gesamte Browser-Chrome). Das war damals in den frühen ‚ aughts.,

Microsoft unterstützt HTA nicht mehr, aber sie haben die zugrunde liegende ausführbare Datei mshta verlassen.exe, herumliegen auf dem virtuellen Rasen von Windows-der Ordner Windows\System32.

Und Hacker waren nur zu eifrig, um es auszunutzen. Um die Sache noch schlimmer zu machen, auf viel zu vielen Windows-Installationen, die .die HTA-Dateierweiterung ist weiterhin mit mshta verknüpft., Ein phishmail Opfer, das eine erhält .hta Dateianhänge, wird automatisch die App starten, wenn sie darauf klickt.

Natürlich müssen Sie mehr tun, als nur die trennen .hta-Erweiterung zum Stoppen aller Angriffe-siehe beispielsweise die Windows-Firewall-Minderung im vorherigen Beitrag. Für Kicks habe ich versucht, direkt ein auszuführen .hta-Datei mit mshta, und Sie können die folgenden Ergebnisse sehen:

Es hat gut funktioniert.,

In einem Hacking-Szenario, in dem sich der Angreifer bereits auf dem Computer des Opfers befindet, kann er die nächste Phase mit dem DownloadString von curl, wget oder PowerShell herunterladen und dann das eingebettete JavaScript mit mshta ausführen.

Aber Hacker sind viel zu schlau, um durch offensichtliche Dateiübertragungsbefehle zu enthüllen, was sie tun! Der springende Punkt des Lebens aus dem Land mit vorhandenen Windows-Binärdateien ist Aktivitäten zu verbergen.

Certutil and Curl-free Remote Downloading

Dies führt zu certutil, einer weiteren Windows-Binärdatei, die zwei Zwecken dient., Seine Funktion besteht darin, Informationen zur Zertifizierungsstelle (Zertifizierungsstelle) zu speichern, anzuzeigen und zu konfigurieren. Sie können hier mehr darüber lesen.

Im Jahr 2017 fand Casey Smith, derselbe Infosec-Forscher, der uns von den Risiken in regsrv32 erzählte, eine doppelte Verwendung für Certutil. Smith bemerkte, dass certutil zum Herunterladen einer Remote-Datei verwendet werden kann.

Dies ist nicht völlig überraschend, da certutil über Remote — Funktionen verfügt, aber eindeutig nicht das Format der Datei überprüft-certutil effektiv in eine LOL-Ware-Version von curl verwandelt.

Wie sich herausstellt, waren Hacker den Forschern weit voraus. Es wurde berichtet, dass Brasilianer Certutil seit einiger Zeit verwenden.,

Wenn Hacker also beispielsweise durch einen SQL-Injection-Angriff Shell-Zugriff erhalten, können sie certutil verwenden, um beispielsweise ein Remote — PowerShell-Skript herunterzuladen, um den Angriff fortzusetzen-ohne Viren-oder Malware-Scanner auszulösen, die nach offensichtlichen Hacking-Tools suchen.

Ausblenden Ausführbarer Dateien mit alternativen Datenströmen (ADS)

Können die Angreifer noch heimlicher werden? Leider ja!

Der erstaunlich clevere Oddvar Moe hat einen großartigen Beitrag zu alternativen Datenströmen und wie damit Malware-Skripte und ausführbare Dateien in einer Datei ausgeblendet werden können.,

ADS war Microsofts Antwort auf die Unterstützung der Kompatibilität mit dem Dateisystem von Apple McIntosh. Im Mac Word enthalten Dateien zusätzlich zu den regulären Daten viele Metadaten. Um diese Metadaten in Windows speichern zu können, hat Microsoft ANZEIGEN erstellt.

Zum Beispiel kann ich so etwas tun:

Bei einer ersten Überprüfung könnte es so aussehen, als würde ich den Text meines leiten .hta-Datei in “ Zeug.txt“.

Schauen Sie sich den obigen Screenshot genauer an und beachten Sie das „:evil.ps1″, das angeheftet ist. Und dann verlagern Sie Ihren Fokus auf die Größe von “ Zeug.txt“: es bleibt bei 0 bytes!

Was ist mit dem Text passiert, den ich in die Datei geleitet habe? Es ist im ADS-Teil des Windows-Dateisystems versteckt. Es stellt sich heraus, dass ich Skripte und Binärdateien, die heimlich im ADS-Teil des Dateisystems gespeichert sind, direkt ausführen kann.,

Und noch etwas

Beim nächsten Mal tauchen wir tiefer in ADS ein. Der größere Punkt ist das hohe Maß an Heimlichkeit, das man mit dem LoL-Ansatz zum Hacken erreichen kann. Es gibt andere Binärdateien, die Dual-Masters dienen, und Sie können eine vollständige Liste von ihnen auf Github finden.

Beispielsweise gibt es eine Klasse von Windows — Binärdateien — z. B. esentutil, extrac32 und andere -, die als Dateikopierwerkzeug fungiert. Mit anderen Worten, die Angreifer müssen sich nicht unbedingt mit dem offensichtlichen Windows-Befehl „Kopieren“ offenbaren.,

Also Sicherheitserkennungssoftware, die auf dem Scannen des Windows-Ereignisprotokolls basiert und nach den üblichen Windows-Dateibefehlen sucht, wird hinterhältige LoL-basierte Hacker-Dateiaktivität vermissen.

Die Lektion ist, dass Sie, ähem, eine Sicherheitsplattform benötigen, die die Raw-Dateisystemaktivität analysieren kann, um festzustellen, was wirklich los ist. Benachrichtigen Sie dann Ihr Sicherheitsteam, wenn ein ungewöhnlicher Zugriff auf die zugrunde liegenden Dateien und Verzeichnisse festgestellt wird.

Macht Ihnen der Lol-Ware-Ansatz zum Hacken nur ein wenig Angst? Unsere Varonis – Datensicherheitsplattform kann erkennen, was die Hacker nicht sehen sollen. Schlanke mehr!