Le Malware caché dans votre dossier Windows System32: Certutil et autres flux de données

nous n’aimons pas penser que les binaires de fenêtre de base sur nos serveurs sont des logiciels malveillants déguisés, mais ce n’est pas une idée si étrange., Les outils OS tels que regsrv32 et mshta (lol-ware) sont l’équivalent dans le monde non virtuel des outils de jardin et des escabeaux laissés près de la fenêtre de la cuisine. Bien sûr, ces outils sont utiles pour le travail autour de la cour, mais malheureusement, ils peuvent aussi être exploités par les méchants.

Par exemple une Application HTML ou HTA, dont j’ai parlé la dernière fois. À un moment donné, c’était un outil de développement utile qui permettait aux informaticiens d’exploiter HTML et JavaScript ou VBScript pour créer des applications webby (sans tout le navigateur chrome). C’était au début des années ‘aughts.,

Microsoft ne prend plus en charge HTA, mais ils ont quitté l’exécutable sous-jacent, mshta.exe, traînant sur la pelouse virtuelle de Windows-le dossier Windows\System32.

Et les pirates n’ont été que trop désireux d’en profiter. Pour aggraver les choses, sur beaucoup trop d’installations Windows, la .l’extension de fichier hta est toujours associée à mshta., Une victime de phishmail qui reçoit un.pièces jointes hta, lancera automatiquement l’application si elle clique dessus.

bien sûr, vous devrez faire plus que simplement dissocier le .extension hta pour arrêter toutes les attaques-voir, par exemple, l’atténuation du pare-feu Windows dans le post précédent. Pour les coups de pied, j’ai essayé d’exécuter directement un .hta fichier à l’aide de mshta, et vous pouvez voir les résultats ci-dessous:

cela a bien fonctionné.,

dans un scénario de piratage où l’attaquant est déjà sur l’ordinateur de la victime, elle pourrait télécharger la phase suivante en utilisant par exemple curl, wget ou DownloadString de PowerShell, puis exécuter le JavaScript intégré avec mshta.

Mais les pirates sont beaucoup trop intelligents pour révéler ce qu’ils font grâce à des commandes de transfert de fichiers évidentes! Le but de vivre de la terre en utilisant les binaires Windows existants est de cacher les activités.

Certutil et le téléchargement À Distance Sans Boucle

cela conduit à certutil, qui est encore un autre binaire Windows qui sert à deux fins., Sa fonction est de vider, d’afficher et de configurer les informations de l’autorité de certification (CA). Vous pouvez en savoir plus à ce sujet ici.

en 2017, Casey Smith, le même chercheur d’infosec qui nous a parlé des risques de regsrv32, a trouvé un double usage pour certutil. Smith a remarqué que certutil peut être utilisé pour télécharger un fichier distant.

ce n’est pas complètement surprenant car certutil a des capacités distantes, mais il ne vérifie clairement pas le format du fichier — transformant efficacement certutil en version LoL-ware de curl.

Il s’avère que les pirates étaient bien en avance sur les chercheurs. Il a été rapporté que les Brésiliens utilisaient certutil depuis un certain temps.,

donc, si les pirates obtiennent un accès shell Via, par exemple, une attaque par injection SQL, ils peuvent utiliser certutil pour télécharger, par exemple, un script PowerShell distant pour continuer l’attaque — sans déclencher de virus ou de logiciels malveillants à la recherche d’outils de piratage évidents.

cacher des exécutables avec des flux de données alternatifs (ADS)

les attaquants peuvent-ils devenir encore plus furtifs? Malheureusement, oui!

Le Moe Oddvar incroyablement intelligent a un excellent article sur les flux de données alternatifs, et comment il peut être utilisé pour masquer les scripts de logiciels malveillants et les exécutables dans un fichier.,

ADS était la réponse de Microsoft à la prise en charge de la compatibilité avec le système de fichiers D’Apple McIntosh. Dans le mot Mac, les fichiers ont beaucoup de métadonnées en plus des données régulières qui leur sont associées. Pour permettre de stocker ces métadonnées dans Windows, Microsoft a créé ADS.

Par exemple, je peux faire quelque chose comme ceci:

lors d’un premier examen, il pourrait sembler que je dirige le texte de mon .fichier hta dans  » trucs.txt”.

regardez de plus près la capture d’écran ci-dessus et remarquez le « :evil.ps1” qui est cloué. Et puis déplacez votre attention sur la taille de « trucs.txt”: il reste à 0 octets!

qu’est-il arrivé au texte que j’ai dirigé dans le fichier? Il est caché dans la partie annonces du système de fichiers Windows. Il s’avère que je peux exécuter directement des scripts et des binaires qui sont secrètement détenus dans la partie ADS du système de fichiers.,

et encore une chose

Nous allons approfondir les annonces la prochaine fois. Le point le plus important est le haut niveau de furtivité que l’on peut atteindre avec l’approche LoL du piratage. Il existe d’autres binaires qui servent des maîtres doubles, et vous pouvez en trouver une liste complète sur github.

par exemple, il existe une classe de binaires Windows — par exemple, esentutil, extrac32 et autres — qui agit comme un outil de copie de fichiers. En d’autres termes, les attaquants n’ont pas nécessairement à se révéler en utilisant la commande « Copier” de Windows évidente.,

donc, le logiciel de détection de sécurité basé sur l’analyse du journal des événements Windows à la recherche des commandes de fichier Windows habituelles manquera l’activité sournoise des fichiers de pirates basée sur LoL.

La leçon est que vous avez besoin, ahem, d’une plate-forme de sécurité capable d’analyser l’activité du système de fichiers brut pour déterminer ce qui se passe réellement. Informez ensuite votre équipe de sécurité lorsqu’elle détecte un accès inhabituel aux fichiers et répertoires sous-jacents.

L’approche Lol-ware du piratage vous effraie-t-elle un peu? Notre plate-forme de sécurité des données Varonis peut repérer ce que les pirates ne veulent pas que vous voyiez. Pour en savoir plus!