Ez a cikk a “Living off the Land With Microsoft”sorozat része. Nézze meg a többit:
- mester Fileless Malware penetráció tesztelés!,lware Bujkál A Windows System32 Mappában: Bevezetés a Regsvr32
- A Malware Bujkál A Windows System32 Mappában: Mshta, HTA, valamint Ransomware
- A Malware Bujkál A Windows System32 Mappában: Certutil, illetve Alternatív Adatfolyamok
- A Malware Bujkál A Windows System32 Mappában: Több Alternatív Adatfolyamok, valamint Rundll32
- A Malware Bujkál A Windows System32 Mappában: Több Rundll32, valamint LoL Biztonsági Védelem Tippek
nem szeretjük azt gondolni, hogy a mag Ablakot, akkor a bináris szervereink álcázott rosszindulatú, de ez nem is olyan furcsa ötlet., Az olyan OS eszközök, mint a regsrv32 és az mshta (LoL-ware), egyenértékűek a kerti szerszámok és a konyhaablak közelében hagyott lépcsők nem virtuális világában. Persze ezek az eszközök hasznosak a munka körül az udvaron, de sajnos ők is kihasználják a rossz fiúk.
például HTML alkalmazás vagy HTA, amelyről Legutóbb írtam. Egy ponton, ez egy hasznos fejlesztési eszköz, amely lehetővé tette, hogy az emberek, hogy kihasználják a HTML, JavaScript vagy VBScript létrehozni webby alkalmazások (anélkül, hogy az összes böngésző chrome). Ez volt vissza a korai ‘ aughts.,
Get the Free Pen Testing Active Directory Environments EBook
a Microsoft már nem támogatja a HTA-t, de elhagyták a mögöttes futtatható fájlt, az mshta-t.exe, a Windows virtuális gyepén fekszik-a Windows\System32 mappában.
és a hackerek csak túl lelkesen éltek a lehetőséggel. Annak érdekében, hogy a dolgok még rosszabbak legyenek, túl sok Windows telepítésnél, az .a (z) hta fájlkiterjesztés még mindig társul az mshta-hoz., Egy phishmail áldozat, aki kap egy .hta fájl mellékletek, automatikusan elindítja az alkalmazást, ha rákattint.
természetesen többet kell tennie, mint egyszerűen elválasztani a .hta kiterjesztés az összes támadás leállításához-lásd például a Windows tűzfal enyhítését az előző bejegyzésben. A rúgások, megpróbáltam közvetlenül végrehajtó egy .hta fájl használata mshta, és láthatjuk az alábbi eredményeket:
jól működött.,
egy hackelési forgatókönyvben, ahol a támadó már az áldozat számítógépén van, letöltheti a következő fázist a Say curl, wget vagy a PowerShell DownloadString segítségével, majd futtassa a beágyazott JavaScriptet az mshta segítségével.
de a hackerek túl okosak ahhoz, hogy felfedjék, mit csinálnak nyilvánvaló fájlátviteli parancsokkal! A meglévő Windows binárisok segítségével a földről való élet lényege a tevékenységek elrejtése.
Certutil and Curl-free Remote Downloading
Ez a certutilhoz vezet, amely egy újabb Windows bináris, amely kettős célokat szolgál., Feladata a tanúsító hatóság (CA) információinak kiírása, megjelenítése és konfigurálása. Erről bővebben itt olvashat.
2017-ben Casey Smith, ugyanaz az infosec kutató, aki elmondta nekünk a regsrv32 kockázatait, kettős felhasználást talált a certutil számára. Smith észrevette, hogy a certutil távoli fájl letöltésére használható.
Ez nem teljesen meglepő, mivel a certutil távoli képességekkel rendelkezik, de nyilvánvalóan nem ellenőrzi a fájl formátumát — hatékonyan a certutil-t a curl LoL-ware verziójává változtatja.
mint kiderült, a hackerek jóval a kutatók előtt voltak. Azt jelentették, hogy a brazilok már egy ideje használják a certutil-t.,
A végrehajtható fájlok elrejtése alternatív adatfolyamokkal (ADS)
a támadók még lopakodóbbak lehetnek? Sajnos igen!
a elképesztően okos Oddvar Moe-nak remek posztja van az alternatív Adatfolyamokról, és arról, hogy hogyan lehet rosszindulatú szkripteket és végrehajtható fájlokat elrejteni egy fájlban.,
A hirdetések a Microsoft válasza az Apple McIntosh fájlrendszerével való kompatibilitás támogatására. A Mac Wordben a fájloknak sok metaadata van a hozzájuk társított rendszeres adatok mellett. A metaadatok Windows rendszerben történő tárolásának lehetővé tétele érdekében a Microsoft hirdetéseket hozott létre.
például:
egy első felülvizsgálat, úgy tűnhet, mintha én irányítja a szöveget az én .hta fájl a ” cucc.txt”.
vessen egy pillantást a fenti képernyőképre, és vegye észre a”: evil.ps1 ” – et, amely rá van húzva. Aztán irányítsd a fókuszt a “cucc” méretére.txt”: 0 bájtban marad!
mi történt a fájlba irányított szöveggel? Ez el van rejtve a Windows fájlrendszer hirdetési részében. Kiderült, hogy én közvetlenül futtatni szkriptek, binárisok, amelyek titokban tartják a hirdetések része a fájlrendszer.,
és még egy dolog
legközelebb mélyebben belemerülünk a hirdetésekbe. A nagyobb pont a magas szintű lopakodás lehet elérni a LOL megközelítés Hacker. Vannak más binárisok is, amelyek kettős mestereket szolgálnak fel, ezek teljes listáját megtalálja a github-on.
például van egy osztály A Windows binárisok — például esentutil, extrac32, stb—, hogy működik, mint egy fájl másolás eszköz. Más szavakkal, a támadóknak nem kell feltétlenül felfedniük magukat a nyilvánvaló Windows “másolás” parancs használatával.,
tehát a Windows Eseménynapló beolvasásán alapuló biztonsági észlelő szoftver, amely a szokásos Windows fájlparancsokat keresi, hiányozni fog a lopakodó LoL-alapú hacker fájlaktivitás.
a lecke az, hogy szüksége van egy biztonsági platformra, amely elemezheti a raw fájlrendszer tevékenységét annak meghatározásához, hogy mi történik valójában. Ezután értesítse a biztonsági csapatot, ha szokatlan hozzáférést észlel a mögöttes fájlokhoz és könyvtárakhoz.
vajon a LOL-ware megközelítés Hacker megijeszteni, csak egy kicsit? Varonis adatbiztonsági platformunk kiszúrhatja, amit a hackerek nem akarnak látni. Hajolj tovább!