Tämä artikkeli on osa sarjassa ”Living pois Maasta Microsoft”. Katso loput:
- Master Fileless Malware Penetration Testing!,lware Piilossa Windowsin System32-Kansioon: Intro Regsvr32
- Haittaohjelmien Piilossa Windowsin System32-Kansioon: Mshta, HTA, ja Ransomware
- Haittaohjelmien Piilossa Windowsin System32-Kansioon: Certutil-ja Alternate Data Streams
- Haittaohjelmien Piilossa Windowsin System32-Kansioon: Lisää Varajäsen tietovirrat, ja Rundll32
- Haittaohjelmien Piilossa Windowsin System32-Kansioon: Enemmän Rundll32 ja LoL Turvallisuus Puolustus Vinkkejä
– Meidän ei pidä ajatella, että ydin-Ikkuna binäärit meidän palvelimet ovat naamioitu haittaohjelma, mutta se ei ole niin outo ajatus., OS työkaluja, kuten regsrv32 ja mshta (LoL-ware) ovat vastaavia ei-virtuaalinen maailma, puutarhan työkalut ja porrastikkaat vasemmalle lähellä keittiön ikkunasta. Toki näistä työkaluista on hyötyä pihatöissä, mutta valitettavasti niitä voivat hyödyntää myös pahikset.
esimerkiksi HTML-sovellus tai HTA, jonka kirjoitin Viimeksi. Jossain vaiheessa, se oli hyödyllinen kehittämisen työkalu, joka salli SEN ihmiset hyödyntää HTML-ja JavaScript-tai VBScript luoda webby apps (ilman selain chrome). Se oli alkuaikoina.,
Hanki Ilmainen Kynä Testaus Active Directory-Ympäristöissä EBook
Microsoft ei enää tue HTA, mutta he jättivät taustalla suoritettavan, mshta.exe, makaa noin Windowsin virtuaalinen nurmikko-Windows\System32 kansio.
ja hakkerit ovat vain olleet liian innokkaita hyödyntämään sitä. Pahentaa asioita, on aivan liian monta Windows-asennuksia,.hta-tiedostotunniste liittyy edelleen mshta-tiedostoon., Phishmailin uhri, joka saa an: n .hta-tiedoston liitteet, käynnistää sovelluksen automaattisesti, jos hän napsauttaa sitä.
tietenkin, sinun täytyy tehdä enemmän kuin vain erottaa .hta laajennus lopettaa kaikki hyökkäykset-katso esimerkiksi Windowsin palomuurin lieventäminen edellisessä postitse. Potkujen vuoksi yritin suoraan teloittaa an: n .hta-tiedoston käyttämällä mshta, ja voit nähdä tuloksia alla:
Se toimi hyvin.,
hakkerointi skenaario, jossa hyökkääjä on jo uhrin tietokoneen, hän pystyi ladata seuraavan vaiheen käyttämällä sanoa, curl, wget, tai PowerShell on DownloadString, ja sitten ajaa upotettu JavaScript kanssa mshta.
mutta hakkerit ovat aivan liian fiksuja paljastamaan, mitä he tekevät ilmeisillä tiedostonsiirtokomennoilla! Koko tarkoitus elää pois maasta olemassa olevia Windows binaries on piilottaa toimintaa.
Certutil-ja Curl-ilmainen Remote Lataaminen
Tämä johtaa certutil, joka on vielä toinen Windows binary, joka palvelee kaksi tarkoituksiin., Sen tehtävänä on dumpata, näyttää ja määrittää sertifiointiviranomaisen (CA) Tiedot. Voit lukea aiheesta lisää täältä.
Vuonna 2017, Casey Smith, sama infosec tutkija, joka kertoi riskit regsrv32, löytyi dual käyttää certutil. Smith huomasi, että certutilia voidaan käyttää etätiedoston lataamiseen.
Tämä ei ole täysin yllättävää, koska certutil on kauko-ominaisuuksia, mutta se ei selvästikään ole tarkkailun tiedoston muoto — tehokkaasti kääntämällä certutil osaksi LoL-ware versio curl.
kävi ilmi, että hakkerit olivat tutkijoiden edellä. Brasilialaisten kerrottiin käyttäneen certutilia jo jonkin aikaa.,
Joten jos hakkerit saada shell-yhteys läpi, sanoa, SQL-injektio hyökkäys, he voivat käyttää certutil ladata, sanoa, kauko PowerShell script jatkaa hyökkäys — ilman, että aiheutuu mitään virus tai haittaohjelma skannerit etsivät selvää, hakkerointi työkaluja.
Piilossa Ajettavat Varajäsen tietovirrat (ADS)
Voit hyökkääjät saada jopa viekkautta? Valitettavasti kyllä!
hämmästyttävän fiksu Oddvar Moen on suuri postitse siitä, Varajäsen tietovirrat, ja miten sitä voidaan käyttää piilottaa haittaohjelmia skriptit ja ajettavat tiedosto.,
ADS oli Microsoftin vastaus yhteensopivuuden tukemiseen Apple McIntoshin tiedostojärjestelmän kanssa. Mac-sanassa tiedostoissa on paljon metatietoja niihin liittyvien säännöllisten tietojen lisäksi. Jotta tämä metadata voitaisiin tallentaa Windowsiin, Microsoft loi mainoksia.
esimerkiksi, en voi tehdä jotain, kuten tämä:
ensimmäinen arvostelu, se saattaa näyttää ohjaan, teksti minun .hta tiedosto ” stuff.txt (s.
katso tarkemmin edellä kuvakaappaus, ja huomaa ”:evil.ps1″, joka on tacked. Ja sitten siirtää keskittyä koko ” tavaraa.txt”: se pysyy 0 tavua!
mitä tapahtui tekstille, jonka ohjasin tiedostoon? Se on piilotettu Windows-tiedostojärjestelmän mainoksiin. Käy ilmi, että voin suorittaa suoraan skriptejä ja binäärejä, joita pidetään salaa tiedostojärjestelmän mainoksissa.,
And One More Thing
we ’ ll take a deeper dive into ADS next time. Suurempi kohta on korkean tason stealthiness voidaan saavuttaa LoL lähestymistapa hakkerointi. On olemassa muita binäärejä, jotka palvelevat dual masters, ja löydät täydellisen luettelon niistä github.
esimerkiksi Windows — binäärien luokka — esimerkiksi esentutiili, extrax32 ja muut-toimii tiedostojen kopiointityökaluna. Toisin sanoen hyökkääjien ei tarvitse välttämättä paljastaa itseään käyttämällä ilmeistä Windows ”copy” – käskyä.,
Joten turvallisuus tunnistus ohjelmisto, joka perustuu skannaus Windows Event log etsivät tavallista Windows-komentoja jää ovela LoL-pohjainen hacker-tiedosto toimintaa.
opetus on, että tarvitset, ahem, tietoturvaalustan, joka voi analysoida raw-tiedostojärjestelmän toimintaa määrittääksesi, mitä todella tapahtuu. Ja sitten ilmoittaa turvallisuusryhmä, kun se havaitsee epätavallinen pääsy taustalla tiedostoja ja hakemistoja.
Pelottaako lol-ware-lähestymistapa hakkerointiin, vain vähän? Meidän Varonis tietoturva-alustamme voi bongata sen, mitä hakkerit eivät halua sinun näkevän. Nojaa enemmän!