El Malware que se esconde en su carpeta Windows System32: Certutil y flujos de datos alternativos

no nos gusta pensar que los binarios de la ventana principal en nuestros servidores son Malware disfrazado, pero no es una idea tan extraña., Las herramientas del sistema operativo como regsrv32 y mshta (LoL-ware) son el equivalente en el mundo no virtual de las herramientas de jardín y escaleras de mano que se dejan cerca de la ventana de la cocina. Seguro que estas herramientas son útiles para trabajar alrededor del patio, pero desafortunadamente también pueden ser explotadas por los malos.

Por ejemplo, la aplicación HTML o HTA, sobre la que escribí la última vez. En un momento dado, fue una herramienta de desarrollo útil que permitió a la gente de TI aprovechar HTML y JavaScript o VBScript para crear aplicaciones webby (sin todo el navegador chrome). Eso fue en los primeros ‘ aughts.,

Microsoft ya no admite HTA, pero dejó el ejecutable subyacente, mshta.exe, tumbado en el césped virtual de Windows – la carpeta Windows\System32.

y los hackers solo han estado demasiado ansiosos por aprovecharlo. Para empeorar las cosas, en demasiadas instalaciones de Windows, el .la extensión de archivo hta todavía está asociada con mshta., Una víctima de phishmail que recibe un .archivos adjuntos HTA, iniciará automáticamente la aplicación si hace clic en ella.

Por supuesto, tendrás que hacer más que solo disociar el .extensión hta para detener todos los ataques: consulte, por ejemplo, la mitigación del Firewall de Windows en la publicación anterior. Por diversión, traté de ejecutar directamente una .HTA archivo usando mshta, y se pueden ver los resultados a continuación:

funcionó bien.,

en un escenario de piratería en el que el atacante ya está en el equipo de la víctima, podría descargar la siguiente fase usando, por ejemplo, curl, wget O DownloadString de PowerShell, y luego ejecutar el JavaScript incrustado con mshta.

pero los hackers son demasiado inteligentes para revelar lo que están haciendo a través de comandos de transferencia de archivos obvios! El objetivo de vivir de la tierra usando los binarios de Windows existentes es ocultar actividades.

Certutil y Curl-descarga remota gratuita

esto conduce a certutil, que es otro binario de Windows que sirve para propósitos duales., Su función es volcar, mostrar y configurar la información de la entidad de certificación (CA). Puedes leer más al respecto aquí.

en 2017, Casey Smith, el mismo investigador de infosec que nos habló sobre los riesgos en regsrv32, encontró un doble uso para certutil. Smith notó que certutil se puede usar para descargar un archivo remoto.

esto no es completamente sorprendente ya que certutil tiene capacidades remotas, pero claramente no está verificando el formato del archivo, convirtiendo efectivamente a certutil en la versión LoL — ware de curl.

como resultado, los hackers estaban muy por delante de los investigadores. It was reported that Brazilians have been using certutil for some time.,

por lo tanto, si los hackers obtienen acceso al shell a través de, por ejemplo, un ataque de inyección SQL, pueden usar certutil para descargar, por ejemplo, un script remoto de PowerShell para continuar el ataque, sin activar ningún escáner de virus o malware que busque herramientas de hacking obvias.

Ocultar ejecutables con flujos de datos alternativos (ADS)

¿Pueden los atacantes ser aún más sigilosos? Por desgracia, sí!

el increíblemente inteligente Oddvar Moe tiene un gran post sobre flujos de datos alternativos, y cómo se puede utilizar para ocultar scripts de malware y ejecutables en un archivo.,

ADS fue la respuesta de Microsoft a la compatibilidad con el sistema de archivos de Apple McIntosh. En el Mac word, los archivos tienen una gran cantidad de metadatos, además de los datos regulares asociados con ellos. Para que sea posible almacenar estos metadatos en Windows, Microsoft creó ADS.

Por ejemplo, puedo hacer algo como esto:

En una primera revisión, podría parecer que me estoy dirigiendo el texto de mi .archivo hta en » cosas.txt».

eche un vistazo más de cerca a la captura de pantalla anterior y observe el»: evil.ps1 » que está agregado. Y luego cambia tu enfoque al tamaño de «cosas».txt»: se mantiene en 0 bytes!

¿Qué pasó con el texto que dirigí al archivo? Está oculto en la parte de anuncios del sistema de archivos de Windows. Resulta que puedo ejecutar directamente scripts y binarios que se mantienen en secreto en la parte de anuncios del sistema de archivos.,

y una cosa más

la próxima vez profundizaremos en los anuncios. El punto más importante es el alto nivel de sigilo que uno puede lograr con el enfoque LoL a la piratería. Hay otros binarios que sirven a maestros duales, y puedes encontrar una lista completa de ellos en github.

por ejemplo, hay una clase de binarios de Windows – por ejemplo, ESENTUTIL, extrac32 y otros-que actúa como una herramienta de copia de archivos. En otras palabras, los atacantes no tienen que revelarse necesariamente usando el obvio comando «Copiar» de Windows.,

entonces, el software de detección de seguridad que se basa en Escanear el registro de eventos de Windows en busca de los comandos de archivo de Windows habituales perderá la actividad de archivos hacker basados en LoL.

la lección es que necesita, ejem, una plataforma de seguridad que pueda analizar la actividad del sistema de archivos raw para determinar lo que realmente está sucediendo. Y luego notifique a su equipo de seguridad cuando detecte un acceso inusual a los archivos y directorios subyacentes.

¿el enfoque de LoL-ware para hackear te asusta, solo un poco? Nuestra plataforma de seguridad de datos Varonis puede detectar lo que los hackers no quieren que vea. Lean más!