Denne artikkelen er en del av serien «Leve av Landet Med Microsoft». Sjekk ut resten:
- Master Fileless Malware Penetration Testing!,lware Skjulested i Windows System32: Intro til Regsvr32
- Malware Skjulested i Windows System32: Mshta, HTA, og Ransomware
- Malware Skjulested i Windows System32: Certutil og Alternative Datastrømmer
- Malware Skjulested i Windows System32: Flere Alternative Datastrømmer og Rundll32
- Malware Skjulested i Windows System32-Mappen: Mer Rundll32 og LoL Security Defense Tips
Vi liker ikke å tenke på at kjernen i Vinduet binærfiler på våre servere er forkledd malware, men det er ikke slik en merkelig idé., OS verktøy som regsrv32 og mshta (LoL-ware) er tilsvarende i ikke-virtuelle verden av hageredskaper og stepladders venstre i kjøkken vinduet. At disse verktøyene er nyttig for arbeid rundt tunet, men dessverre kan de også bli utnyttet av de slemme gutta.
For eksempel HTML-Program eller HTA, som jeg skrev om sist gang. På ett punkt, det var en nyttig utviklingsverktøy som tillot folk å utnytte HTML og JavaScript-eller VBScript å skape webby apps (uten alle nettleseren chrome). Det var tilbake i begynnelsen av ‘aughts.,
Få Gratis Penn Testing Active Directory-Miljøer EBook
Microsoft støtter ikke lenger HTA, men de forlot den underliggende kjørbar, mshta.exe, liggende rundt på Windows’ virtuelle plen – Windows\System32-mappen.
Og hackere har bare vært for ivrig etter å dra nytte av det. For å gjøre vondt verre, på altfor mange Windows-installasjoner .hta file extension er fortsatt forbundet med mshta., En phishmail offer som mottar en .hta vedlegg, vil automatisk starte applikasjonen hvis hun klikker på det.
selvfølgelig, du må gjøre mer enn å bare fjerne tilknytningen for det .hta extension for å stoppe alle angrep — se, for eksempel, Windows-Brannmur klimatiltak i forrige innlegg. For spark, jeg prøvde direkte utfører en .hta-fil ved hjelp av mshta, og du kan se resultatene nedenfor:
Det fungerte fint.,
I en hacking scenario der angriperen er allerede på offerets datamaskin, hun kunne laste ned de neste fase ved hjelp av si krumming, wget, eller PowerShell er DownloadString, og deretter kjøre den innebygde JavaScript med mshta.
Men hackere er altfor smart til å avsløre hva de gjør gjennom åpenbare file transfer-kommandoer! Hele poenget med å leve av landet ved hjelp av eksisterende binærfiler for Windows er for å skjule aktiviteter.
Certutil og Curl-gratis Ekstern Nedlasting
Dette fører til certutil, som er enda en Windows binære som serverer dobbel hensikt., Dens funksjon er å dumpe, vise og konfigurere sertifiseringsinstans (CA) informasjon. Du kan lese mer om det her.
I 2017, Casey Smith, den samme infosec forsker som fortalte oss om risikoen i regsrv32, fant en dobbel bruk for certutil. Smith la merke til at certutil kan brukes til å laste ned en ekstern fil.
Dette er ikke helt overraskende siden certutil har ekstern evner, men det er helt klart ikke kontrollere filformat — effektivt å slå certutil inn LoL-ware versjon av krøller.
Som det viser seg, hackere var langt foran forskere. Det ble rapportert at Brasilianerne har vært med certutil for noen tid.,
Så hvis hackere får tak i shell-tilgang via, si, en SQL-injection angrep, kan de bruke certutil å laste ned, sier en ekstern PowerShell script for å fortsette angrepet, uten utløser noen virus eller malware skannere søker etter åpenbart hacking verktøy.
Skjule Kjørbare filer Med Alternative dataflyter (ADS)
Kan angriperne få enda usynlige? Dessverre, ja!
Den utrolig flink Oddvar Moe har et flott innlegg på Alternative Datastrømmer, og hvordan det kan brukes til å skjule skadelig programvare skript og kjørbare filer i en fil.,
ANNONSER var Microsofts svar til støtte for kompatibilitet med Apple McIntosh ‘ s fil systemet. I Mac word-filer har mye av metadata i tillegg til vanlig data knyttet til dem. For å gjøre det mulig å lagre denne metadata i Windows, Microsoft laget ANNONSER.
For eksempel, jeg kan gjøre noe som dette:
På en første gjennomgang, kan det se ut som jeg er i regi teksten min .hta-fil inn i «ting.txt».
Ta en nærmere titt på skjermbildet over, og legg merke til «:det onde.ps1» som var festet på. Og så skifte fokus til størrelsen av «ting.txt»: det er fortsatt på 0 bytes!
Hva skjedde med den teksten jeg rettet inn filen? Den er skjult i ANNONSENE del av Windows file system. Det viser seg at jeg kan rett kjøre skript og binærfilene som er hemmelighet holdt i ANNONSENE del av filsystemet.,
Og En Ting
Vi vil ta en dypere dykk inn ANNONSER neste gang. De større punktet er høyt nivå av stealthiness man kan oppnå med LoL tilnærming til hacking. Det er andre binærfiler som tjener dual master, og du kan finne en komplett liste over dem på github.
For eksempel, det er en klasse av binærfiler for Windows — for eksempel, esentutil, extrac32, og andre — som fungerer som en fil kopi verktøyet. Med andre ord, angriperne trenger ikke nødvendigvis å avsløre seg selv ved å bruke den åpenbare Windows «kopier» – kommandoen.,
Så security deteksjon programvare som er basert på skanning av Windows Event logger på jakt etter de vanlige Windows-kommandoer vil gå glipp av sleipe LoL-basert hacker-fil aktivitet.
lærdommen er at du trenger, hm, en sikkerhet plattform som kan analysere raw file system aktivitet for å finne ut hva som egentlig foregår. Og deretter varsle din sikkerhet team når det oppdager uvanlige tilgang til underliggende filer og kataloger.
Gjør Lol-ware tilnærming til hacking skremme deg, bare litt? Våre Varonis Data Security Plattformen kan oppdage hva hackere ikke vil du skal se. Helle mer!