Ten artykuł jest częścią serii „Living off the Land With Microsoft”. Sprawdź resztę:
- Master Fileless Malware Penetration Testing!,lware ukrywa się w folderze Windows System32: wstęp do Regsvr32
- złośliwe oprogramowanie ukrywa się w folderze Windows System32: Mshta, HTA i Ransomware
- złośliwe oprogramowanie ukrywa się w folderze Windows System32: Certutil i alternatywne strumienie danych
- złośliwe oprogramowanie ukrywa się w folderze Windows System32: więcej alternatywnych strumieni danych i Rundll32
- złośliwe oprogramowanie ukrywa się w folderze Windows System32: więcej Rundll32 i LOL Security Defense Tips
nie lubimy myśleć, że binaria Core window na naszych serwerach To ukryte złośliwe oprogramowanie, ale to nie jest taki dziwny pomysł., Narzędzia OS takie jak regsrv32 i mshta (lol-ware) są odpowiednikiem w nie wirtualnym świecie narzędzi ogrodowych i drabinek pozostawionych przy oknie kuchennym. Oczywiście te narzędzia są przydatne do pracy na podwórku, ale niestety mogą być również wykorzystywane przez złych facetów.
na przykład aplikacja HTML lub HTA, o której pisałem ostatnio. W pewnym momencie było to użyteczne narzędzie programistyczne, które pozwoliło ludziom na wykorzystanie HTML i JavaScript lub VBScript do tworzenia aplikacji webby (bez całej przeglądarki chrome). Na początku lat 80.,
Pobierz darmowy ebook testowanie środowiska Active Directory
Microsoft nie obsługuje już HTA, ale opuścił podstawowy program wykonywalny, mshta.exe, leżący na wirtualnym trawniku Windows-folderze Windows\System32.
a hakerzy zbyt chętnie z tego skorzystali. Na domiar złego, na zbyt wielu instalacjach okien, … rozszerzenie pliku hta jest nadal związane z mshta., Ofiara fiszmaila, która otrzymuje .załączniki do plików hta, automatycznie uruchomi aplikację, jeśli na nią kliknie.
oczywiście będziesz musiał zrobić coś więcej niż tylko odłączyćrozszerzenie hta, aby zatrzymać wszystkie ataki-zobacz na przykład łagodzenie Zapory systemu Windows w poprzednim poście. Dla kopnięcia, próbowałem bezpośrednio wykonać an .plik hta za pomocą mshta, a wyniki można zobaczyć poniżej:
działało dobrze.,
w scenariuszu hakerskim, w którym atakujący jest już na komputerze ofiary, może pobrać następną fazę za pomocą say curl, wget lub PowerShell ' s DownloadString, a następnie uruchomić osadzony JavaScript za pomocą mshta.
ale hakerzy są zbyt sprytni, aby ujawnić, co robią za pomocą oczywistych poleceń transferu plików! Cały sens życia poza ziemią przy użyciu istniejących systemów Windows polega na ukrywaniu aktywności.
Certutil i Curl-darmowe zdalne pobieranie
prowadzi to do certutil, który jest kolejnym binarnym systemem Windows, który służy dwóm celom., Jego funkcją jest zrzut, wyświetlanie i konfigurowanie informacji urzędu certyfikacji (CA). Więcej na ten temat można przeczytać tutaj.
w 2017 roku Casey Smith, ten sam badacz infosec, który powiedział nam o ryzyku w regsrv32, znalazł podwójne zastosowanie dla certutil. Smith zauważył, że certutil może być używany do pobierania zdalnego pliku.
nie jest to całkowicie zaskakujące, ponieważ certutil ma zdalne możliwości, ale wyraźnie nie sprawdza formatu pliku — skutecznie zamieniając certutil w wersję curl z LoL-ware.
jak się okazuje, hakerzy wyprzedzili naukowców. Poinformowano, że Brazylijczycy używają certutil od pewnego czasu.,
więc jeśli hakerzy uzyskają dostęp do powłoki poprzez, powiedzmy, atak SQL injection, mogą użyć certutil, aby pobrać, powiedzmy, zdalny skrypt PowerShell, aby kontynuować atak — bez uruchamiania żadnych skanerów wirusów lub złośliwego oprogramowania szukających oczywistych narzędzi hakerskich.
ukrywanie plików wykonywalnych za pomocą alternatywnych strumieni danych (ADS)
czy atakujący mogą stać się jeszcze bardziej ukradkowi? Niestety tak!
niesamowicie sprytny Oddvar Moe ma świetny post na temat alternatywnych strumieni danych i jak można go wykorzystać do ukrywania złośliwych skryptów i plików wykonywalnych w pliku.,
ADS był odpowiedzią Microsoftu na wspieranie kompatybilności z systemem plików Firmy Apple McIntosh. W programie Mac word pliki mają wiele metadanych oprócz zwykłych danych z nimi związanych. Aby umożliwić przechowywanie tych metadanych w systemie Windows, Microsoft stworzył reklamy.
na przykład, mogę zrobić coś takiego:
przy pierwszej recenzji może to wyglądać tak, jakbym reżyserował tekst mojego .plik hta do ” rzeczy.txt”.
przyjrzyj się bliżej powyższemu zrzutowi ekranu i zwróć uwagę na „:evil.ps1″, który jest zaznaczony. A potem przesuń ostrość do rozmiaru ” rzeczy.txt”: pozostaje na 0 bajtach!
Co się stało z tekstem, który skierowałem do pliku? Jest ukryty w części reklamowej systemu plików Windows. Okazuje się, że mogę bezpośrednio uruchamiać skrypty i binaria, które są potajemnie przechowywane w części ADS systemu plików.,
i jeszcze jedno
następnym razem zanurkujemy głębiej w reklamy. Większy punkt to wysoki poziom kradzieży, który można osiągnąć dzięki podejściu LoL do hakowania. Istnieją inne pliki binarne, które obsługują dwa mastery, a ich pełną listę znajdziesz na GitHubie.
na przykład istnieje klasa binariów Windows-na przykład esentutil, extract32 i inne-która działa jako narzędzie do kopiowania plików. Innymi słowy, atakujący nie muszą koniecznie ujawniać się za pomocą oczywistego polecenia „Kopiuj” systemu Windows.,
więc oprogramowanie do wykrywania zabezpieczeń, które opiera się na skanowaniu dziennika zdarzeń systemu Windows w poszukiwaniu zwykłych poleceń plików systemu Windows, przegapi sneaky lol-based hacker file activity.
lekcja jest taka, że potrzebujesz platformy bezpieczeństwa, która może analizować aktywność surowego systemu plików, aby określić, co naprawdę się dzieje. A następnie powiadom zespół ds. bezpieczeństwa, gdy wykryje nietypowy dostęp do plików i katalogów.
czy podejście Lol-ware do hakowania cię trochę przeraża? Nasza platforma bezpieczeństwa danych Varonis może dostrzec to, czego hakerzy nie chcą, abyś widział. Pochyl się!