Ez a cikk a “Living off the Land With Microsoft”sorozat része. Nézze meg a többit:

  • mester Fileless Malware penetráció tesztelés!,lware Bujkál A Windows System32 Mappában: Bevezetés a Regsvr32
  • A Malware Bujkál A Windows System32 Mappában: Mshta, HTA, valamint Ransomware
  • A Malware Bujkál A Windows System32 Mappában: Certutil, illetve Alternatív Adatfolyamok
  • A Malware Bujkál A Windows System32 Mappában: Több Alternatív Adatfolyamok, valamint Rundll32
  • A Malware Bujkál A Windows System32 Mappában: Több Rundll32, valamint LoL Biztonsági Védelem Tippek

nem szeretjük azt gondolni, hogy a mag Ablakot, akkor a bináris szervereink álcázott rosszindulatú, de ez nem is olyan furcsa ötlet., Az olyan OS eszközök, mint a regsrv32 és az mshta (LoL-ware), egyenértékűek a kerti szerszámok és a konyhaablak közelében hagyott lépcsők nem virtuális világában. Persze ezek az eszközök hasznosak a munka körül az udvaron, de sajnos ők is kihasználják a rossz fiúk.

például HTML alkalmazás vagy HTA, amelyről Legutóbb írtam. Egy ponton, ez egy hasznos fejlesztési eszköz, amely lehetővé tette, hogy az emberek, hogy kihasználják a HTML, JavaScript vagy VBScript létrehozni webby alkalmazások (anélkül, hogy az összes böngésző chrome). Ez volt vissza a korai ‘ aughts.,

Get the Free Pen Testing Active Directory Environments EBook

” ez tényleg kinyitotta a szemem, hogy AD biztonság oly módon védekező munka soha nem volt.”

a Microsoft már nem támogatja a HTA-t, de elhagyták a mögöttes futtatható fájlt, az mshta-t.exe, a Windows virtuális gyepén fekszik-a Windows\System32 mappában.

és a hackerek csak túl lelkesen éltek a lehetőséggel. Annak érdekében, hogy a dolgok még rosszabbak legyenek, túl sok Windows telepítésnél, az .a (z) hta fájlkiterjesztés még mindig társul az mshta-hoz., Egy phishmail áldozat, aki kap egy .hta fájl mellékletek, automatikusan elindítja az alkalmazást, ha rákattint.

természetesen többet kell tennie, mint egyszerűen elválasztani a .hta kiterjesztés az összes támadás leállításához-lásd például a Windows tűzfal enyhítését az előző bejegyzésben. A rúgások, megpróbáltam közvetlenül végrehajtó egy .hta fájl használata mshta, és láthatjuk az alábbi eredményeket:

még mindig őrült ennyi év után: mshta .és .hta

jól működött.,

egy hackelési forgatókönyvben, ahol a támadó már az áldozat számítógépén van, letöltheti a következő fázist a Say curl, wget vagy a PowerShell DownloadString segítségével, majd futtassa a beágyazott JavaScriptet az mshta segítségével.

de a hackerek túl okosak ahhoz, hogy felfedjék, mit csinálnak nyilvánvaló fájlátviteli parancsokkal! A meglévő Windows binárisok segítségével a földről való élet lényege a tevékenységek elrejtése.

Certutil and Curl-free Remote Downloading

Ez a certutilhoz vezet, amely egy újabb Windows bináris, amely kettős célokat szolgál., Feladata a tanúsító hatóság (CA) információinak kiírása, megjelenítése és konfigurálása. Erről bővebben itt olvashat.

2017-ben Casey Smith, ugyanaz az infosec kutató, aki elmondta nekünk a regsrv32 kockázatait, kettős felhasználást talált a certutil számára. Smith észrevette, hogy a certutil távoli fájl letöltésére használható.

ez egy tanúsító eszköz. Nem, ez egy lopakodó módja a rosszindulatú programok letöltésének. Certutil mindkettő!,

Ez nem teljesen meglepő, mivel a certutil távoli képességekkel rendelkezik, de nyilvánvalóan nem ellenőrzi a fájl formátumát — hatékonyan a certutil-t a curl LoL-ware verziójává változtatja.

mint kiderült, a hackerek jóval a kutatók előtt voltak. Azt jelentették, hogy a brazilok már egy ideje használják a certutil-t., Szóval, ha hackerek megszerzése shell hozzáférés keresztül, mondjuk, egy SQL injection támadás, tudják használni certutil letölthető, mondjuk, egy távoli PowerShell script, hogy továbbra is a támadás — anélkül, hogy megnyomnánk semmilyen vírus vagy malware szkenner keres nyilvánvaló, hacking eszközök.

A végrehajtható fájlok elrejtése alternatív adatfolyamokkal (ADS)

a támadók még lopakodóbbak lehetnek? Sajnos igen!

a elképesztően okos Oddvar Moe-nak remek posztja van az alternatív Adatfolyamokról, és arról, hogy hogyan lehet rosszindulatú szkripteket és végrehajtható fájlokat elrejteni egy fájlban.,

A hirdetések a Microsoft válasza az Apple McIntosh fájlrendszerével való kompatibilitás támogatására. A Mac Wordben a fájloknak sok metaadata van a hozzájuk társított rendszeres adatok mellett. A metaadatok Windows rendszerben történő tárolásának lehetővé tétele érdekében a Microsoft hirdetéseket hozott létre.

például:

Omg , egy fájlba irányítottam a szöveget, és a fájl mérete nem változott! Hová tűnt? Benne van a hirdetésekben., # stealthy

egy első felülvizsgálat, úgy tűnhet, mintha én irányítja a szöveget az én .hta fájl a ” cucc.txt”.

vessen egy pillantást a fenti képernyőképre, és vegye észre a”: evil.ps1 ” – et, amely rá van húzva. Aztán irányítsd a fókuszt a “cucc” méretére.txt”: 0 bájtban marad!

mi történt a fájlba irányított szöveggel? Ez el van rejtve a Windows fájlrendszer hirdetési részében. Kiderült, hogy én közvetlenül futtatni szkriptek, binárisok, amelyek titokban tartják a hirdetések része a fájlrendszer.,

és még egy dolog

legközelebb mélyebben belemerülünk a hirdetésekbe. A nagyobb pont a magas szintű lopakodás lehet elérni a LOL megközelítés Hacker. Vannak más binárisok is, amelyek kettős mestereket szolgálnak fel, ezek teljes listáját megtalálja a github-on.

például van egy osztály A Windows binárisok — például esentutil, extrac32, stb—, hogy működik, mint egy fájl másolás eszköz. Más szavakkal, a támadóknak nem kell feltétlenül felfedniük magukat a nyilvánvaló Windows “másolás” parancs használatával.,

tehát a Windows Eseménynapló beolvasásán alapuló biztonsági észlelő szoftver, amely a szokásos Windows fájlparancsokat keresi, hiányozni fog a lopakodó LoL-alapú hacker fájlaktivitás.

a lecke az, hogy szüksége van egy biztonsági platformra, amely elemezheti a raw fájlrendszer tevékenységét annak meghatározásához, hogy mi történik valójában. Ezután értesítse a biztonsági csapatot, ha szokatlan hozzáférést észlel a mögöttes fájlokhoz és könyvtárakhoz.

vajon a LOL-ware megközelítés Hacker megijeszteni, csak egy kicsit? Varonis adatbiztonsági platformunk kiszúrhatja, amit a hackerek nem akarnak látni. Hajolj tovább!

Articles

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük