Il malware nascosto nella cartella System32 di Windows: Certutil e flussi di dati alternativi

non Ci piace pensare che il nucleo Finestra binari sui nostri server sono travestiti da malware, ma non è questa strana idea., Strumenti OS come regsrv32 e mshta (LOL-ware) sono l’equivalente nel mondo non virtuale di attrezzi da giardino e stepladders lasciati vicino alla finestra della cucina. Certo questi strumenti sono utili per lavorare intorno al cortile, ma purtroppo possono anche essere sfruttati dai cattivi.

Ad esempio l’applicazione HTML o HTA, di cui ho scritto l’ultima volta. A un certo punto, è stato uno strumento di sviluppo utile che ha permesso alle persone IT di sfruttare HTML e JavaScript o VBScript per creare applicazioni webby (senza tutti i browser chrome). Era nei primi anni ‘ aughts.,

Microsoft non supporta più HTA, ma ha lasciato l’eseguibile sottostante, mshta.exe, in giro sul prato virtuale di Windows-la cartella Windows \ System32.

E gli hacker sono stati solo troppo ansiosi di approfittarne. A peggiorare le cose, su troppe installazioni di Windows, il .l’estensione del file hta è ancora associata a mshta., Una vittima phishmail che riceve un .hta file allegati, lancerà automaticamente l’applicazione se lei fa clic su di esso.

Naturalmente, dovrete fare di più che dissociare il .estensione hta per fermare tutti gli attacchi-vedere, ad esempio, la mitigazione di Windows Firewall nel post precedente. Per i calci, ho provato direttamente l’esecuzione di un .file hta usando mshta, e puoi vedere i risultati qui sotto:

Ha funzionato bene.,

In uno scenario di hacking in cui l’attaccante è già sul computer della vittima, potrebbe scaricare la fase successiva usando say curl, wget o PowerShell DownloadString, e quindi eseguire il JavaScript incorporato con mshta.

Ma gli hacker sono troppo intelligenti per rivelare cosa stanno facendo attraverso ovvi comandi di trasferimento file! L’intero punto di vivere fuori dalla terra utilizzando binari di Windows esistenti è quello di nascondere le attività.

Certutil e Curl-free Download remoto

Questo porta a certutil, che è ancora un altro binario di Windows che serve a duplice scopo., La sua funzione è quella di scaricare, visualizzare e configurare le informazioni dell’autorità di certificazione (CA). Si può leggere di più su di esso qui.

Nel 2017, Casey Smith, lo stesso ricercatore infosec che ci ha parlato dei rischi in regsrv32, ha trovato un duplice uso per certutil. Smith ha notato che certutil può essere utilizzato per scaricare un file remoto.

Questo non è del tutto sorprendente dal momento che certutil ha funzionalità remote, ma chiaramente non sta controllando il formato del file — trasformando efficacemente certutil in versione LoL-ware di curl.

A quanto pare, gli hacker erano molto più avanti dei ricercatori. È stato riferito che i brasiliani hanno usato certutil per qualche tempo.,

Quindi, se gli hacker ottengono l’accesso alla shell attraverso, ad esempio, un attacco SQL injection, possono utilizzare certutil per scaricare, ad esempio, uno script PowerShell remoto per continuare l’attacco, senza innescare alcun virus o scanner malware alla ricerca di strumenti di hacking evidenti.

Nascondere gli eseguibili con flussi di dati alternativi (ADS)

Gli aggressori possono diventare ancora più furtivi? Purtroppo sì!

L’incredibilmente intelligente Oddvar Moe ha un ottimo post su flussi di dati alternativi e su come può essere utilizzato per nascondere script ed eseguibili malware in un file.,

ADS era la risposta di Microsoft al supporto della compatibilità con il file system di Apple McIntosh. In Mac Word, i file hanno molti metadati oltre ai dati regolari ad essi associati. Per rendere possibile l’archiviazione di questi metadati in Windows, Microsoft ha creato ANNUNCI.

Ad esempio, posso fare qualcosa di simile:

In una prima recensione, potrebbe sembrare che stia dirigendo il testo del mio .file hta in ” roba.txt”.

Dai un’occhiata più da vicino allo screenshot qui sopra e nota il “:evil.ps1” che è attaccato. E poi spostare l’attenzione alla dimensione di ” roba.txt”: rimane a 0 byte!

Cosa è successo al testo che ho diretto nel file? È nascosto nella parte degli ANNUNCI del file system di Windows. Si scopre che posso eseguire direttamente script e binari che sono segretamente tenuti nella parte ADS del file system.,

E ancora una cosa

Faremo un tuffo più profondo negli ANNUNCI la prossima volta. Il punto più grande è l’alto livello di furtività che si può ottenere con l’approccio LoL all’hacking. Ci sono altri binari che servono dual master, e si può trovare un elenco completo di loro su github.

Ad esempio, esiste una classe di binari di Windows, ad esempio esentutil, extrac32 e altri, che funge da strumento di copia di file. In altre parole, gli aggressori non devono necessariamente rivelarsi utilizzando l’ovvio comando “copia” di Windows.,

Così software di rilevamento di sicurezza che si basa sulla scansione del registro eventi di Windows alla ricerca dei soliti comandi di file di Windows mancherà subdolo lol-based attività di file hacker.

La lezione è che hai bisogno, ahem, di una piattaforma di sicurezza in grado di analizzare l’attività del file system raw per determinare cosa sta realmente accadendo. E poi informare il team di sicurezza quando rileva l’accesso insolito ai file e alle directory sottostanti.

L’approccio Lol-ware all’hacking ti spaventa, solo un po’? La nostra piattaforma di sicurezza dei dati Varonis può individuare ciò che gli hacker non vogliono che tu veda. Magra di più!