De Malware die zich verbergt in de map Windows System32: Certutil en alternatieve gegevensstromen

We houden er niet van om te denken dat de kern Venster binaire bestanden op onze servers worden vermomd malware, maar het is niet zo ‘ n vreemd idee., OS tools zoals regsrv32 en Mshta (LoL-ware) zijn het equivalent in de niet-virtuele wereld van tuingereedschap en Trapladders links in de buurt van het keukenraam. Zeker deze tools zijn nuttig voor het werk rond de werf, maar helaas kunnen ze ook worden uitgebuit door de slechteriken.

bijvoorbeeld HTML-toepassing of HTA, waar ik de vorige keer over schreef. Op een gegeven moment, het was een nuttige ontwikkeling tool die het mogelijk mensen om gebruik te maken van HTML en JavaScript of VBScript om Webby apps te maken (zonder alle browser chrome). Dat was in het begin.,

Microsoft ondersteunt HTA niet langer, maar ze lieten het onderliggende uitvoerbare bestand, mshta, achter.exe, rondslingeren op het virtuele gazon van Windows-de map Windows \ System32.

en hackers hebben er maar al te graag gebruik van gemaakt. Om de zaken nog erger te maken, op veel te veel Windows-installaties, de .hta bestandsextensie wordt nog steeds geassocieerd met mshta., Een phishmail slachtoffer die een .hta bestandsbijlagen, zal de app automatisch starten als ze erop klikt.

natuurlijk zult u meer moeten doen dan alleen het uit elkaar halen .HTA-extensie om alle aanvallen te stoppen-zie, bijvoorbeeld, de Windows Firewall mitigatie in de vorige post. Voor de kick, probeerde ik direct een te executeren .hta-bestand met mshta, en u kunt de resultaten hieronder zien:

het werkte prima.,

in een hackscenario waarin de aanvaller zich al op de computer van het slachtoffer bevindt, kan ze de volgende fase downloaden met behulp van say curl, wget of PowerShell ‘ s DownloadString, en vervolgens het ingesloten JavaScript uitvoeren met mshta.

maar hackers zijn veel te slim om te onthullen wat ze doen door middel van voor de hand liggende bestandsoverdracht commando ‘ s! Het hele punt van het leven van het land met behulp van bestaande Windows-binaries is om activiteiten te verbergen.

Certutil en Krulvrij downloaden op afstand

Dit leidt tot certutil, wat weer een ander Windows binaire programma is dat twee doelen dient., De functie ervan is om informatie van de certificeringsinstantie (Ca) te dumpen, weer te geven en te configureren. U kunt hier meer over lezen.

in 2017 vond Casey Smith, dezelfde InfoSec-onderzoeker die ons vertelde over de risico ‘ s in regsrv32, een duaal gebruik voor certutil. Smith merkte dat certutil kan worden gebruikt om een bestand op afstand te downloaden.

Dit is niet helemaal verrassend omdat certutil remote mogelijkheden heeft, maar het is duidelijk niet het formaat van het bestand controleren — effectief certutil omzetten in LoL-ware versie van curl.

zoals blijkt, hackers waren ver voor op de onderzoekers. Er werd gemeld dat Brazilianen certutil al enige tijd gebruiken.,

dus als hackers shell-toegang krijgen via bijvoorbeeld een SQL-injectieaanval, kunnen ze certutil gebruiken om bijvoorbeeld een PowerShell — script op afstand te downloaden om de aanval voort te zetten-zonder dat er virussen of malwarescanners op zoek gaan naar voor de hand liggende hacking-tools.

het verbergen van Uitvoerbare bestanden met alternatieve gegevensstromen (ADS)

kunnen de aanvallers nog stealthier worden? Helaas, Ja!

De verbazingwekkend slimme Oddvar Moe heeft een geweldig bericht over alternatieve datastromen, en hoe het kan worden gebruikt om malware scripts en uitvoerbare bestanden in een bestand te verbergen.,

ADS was Microsoft ‘ s antwoord op ondersteuning van compatibiliteit met het bestandssysteem van Apple McIntosh. In de Mac word hebben bestanden veel metadata naast reguliere gegevens die ermee zijn geassocieerd. Om het mogelijk te maken om deze metadata in Windows op te slaan, heeft Microsoft advertenties gemaakt.

bijvoorbeeld:

bij een eerste recensie lijkt het alsof ik de tekst van mijn .HTA bestand in ” spullen.txt”.

kijk eens goed naar de bovenstaande schermafbeelding, en merk op dat”: evil. ps1 ” erop is geplakt. En dan verschuif je focus naar de grootte van “dingen.txt”: het blijft op 0 bytes!

Wat is er gebeurd met de tekst die ik naar het bestand heb gestuurd? Het is verborgen in de advertenties deel van het Windows-bestandssysteem. Het blijkt dat ik direct scripts en binaries die in het geheim worden gehouden in de advertenties deel van het bestandssysteem kan uitvoeren.,

en nog één ding

We gaan de volgende keer dieper in op advertenties. Het grotere punt is het hoge niveau van stealthiness men kan bereiken met de LoL aanpak van hacken. Er zijn andere binaries die dual masters dienen, en je kunt een volledige lijst van hen vinden op github.

bijvoorbeeld, Er is een klasse van Windows-binaries-bijvoorbeeld esentutil, extrac32, en anderen-die fungeert als een bestand kopiëren tool. Met andere woorden, de aanvallers hoeven niet per se te onthullen zichzelf met behulp van de voor de hand liggende Windows “copy” Commando.,

dus beveiligingsdetectiesoftware die is gebaseerd op het scannen van het Windows-gebeurtenislogboek op zoek naar de gebruikelijke Windows-bestandscommando ‘ s mist stiekeme LoL-gebaseerde hackerbestandactiviteit.

de les is dat je een beveiligingsplatform nodig hebt dat de activiteit van het raw-bestandssysteem kan analyseren om te bepalen wat er echt aan de hand is. En breng uw beveiligingsteam op de hoogte wanneer het ongewone toegang tot de onderliggende bestanden en mappen detecteert.

maakt de Lol-ware benadering van hacken je een beetje bang? Ons Varonis Data Security Platform kan zien wat de hackers niet willen dat je ziet. Leun meer!