este artigo faz parte da série “Living off the Land With Microsoft”. Confira o resto:
- Master Fileless Malware Penetration Testing!,lware Escondido no Seu Windows System32: Introdução ao Regsvr32
- O Malware Escondido no Seu Windows System32: Mshta, HTA, e Ransomware
- O Malware Escondido no Seu Windows System32: Certutil e Fluxos de Dados Alternativos
- O Malware Escondido no Seu Windows System32: Mais Fluxos de Dados Alternativos e Rundll32
- O Malware Escondido no Seu Windows System32: Mais Rundll32 e LoL de Segurança de Defesa Dicas
Nós não gostamos de pensar que o centro da Janela de binários em nossos servidores estão disfarçados de malware, mas não é uma idéia estranha., As ferramentas de OS, tais como regsrv32 e mshta (LoL-ware) são o equivalente no mundo não virtual de ferramentas de jardim e escadotes deixados perto da janela da cozinha. Claro que estas ferramentas são úteis para o trabalho em torno do pátio, mas infelizmente eles também podem ser explorados pelos bandidos.
Por exemplo, aplicação HTML ou HTA, que eu escrevi sobre a última vez. Em um ponto, foi uma ferramenta de desenvolvimento útil que permitiu que as pessoas de TI para alavancar HTML e JavaScript ou VBScript para criar aplicativos webby (sem todo o navegador chrome). Isso foi nos primeiros anos.,
Get the Free Pen Testing Active Directory Environments ebook
Microsoft não suporta mais HTA, mas eles deixaram o executável subjacente, mshta.exe, deitado no relvado virtual do Windows-a pasta Windows\System32.
e os hackers só têm sido muito ansiosos para tirar proveito disso. Para piorar as coisas, em muitas instalações de janelas, o .hta extensão de ficheiro ainda está associada com mshta., Uma vítima de phishmail que recebe um .anexos de arquivos hta, irá automaticamente lançar o aplicativo se ela clica nele.
é claro, você terá que fazer mais do que simplesmente dissociar o.extensão hta para parar todos os ataques-veja, por exemplo, a mitigação do Firewall do Windows no post anterior. Por gozo, tentei executar directamente um .hta arquivo usando mshta, e você pode ver os resultados abaixo:
It worked fine.,
em um cenário de hacking onde o atacante já está no computador da vítima, ela poderia baixar a próxima fase usando say curl, wget, ou PowerShell DownloadString, e, em seguida, executar o JavaScript embutido com mshta.
mas os hackers são demasiado inteligentes para revelar o que estão a fazer através de comandos de transferência de ficheiros óbvios! O objetivo de viver da terra usando binários Windows existentes é esconder atividades.
Certutil and Curl-free Remote Downloading
this leads to certutil, which is yet another Windows binary that serves dual purposes., Sua função é despejar, exibir e configurar informações da Autoridade de certificação (CA). Você pode ler mais sobre isso aqui.
em 2017, Casey Smith, o mesmo pesquisador do infosec que nos contou sobre os riscos no regsrv32, encontrou um uso duplo para certutil. Smith notou que certutil pode ser usado para baixar um arquivo remoto.
isto não é completamente surpreendente uma vez que certutil tem capacidades remotas, mas claramente não está verificando o formato do arquivo — efetivamente transformando certutil em LOL-ware versão de curl.ao que parece, os hackers estavam muito à frente dos pesquisadores. Foi relatado que os brasileiros estão usando certutil há algum tempo.,
assim, se os hackers obtiverem acesso à shell através, digamos, de um ataque de injeção SQL, eles podem usar certutil para baixar, digamos, um script PowerShell remoto para continuar o ataque-sem desencadear qualquer vírus ou scanners de malware à procura de ferramentas de hacking óbvias.
Esconder executáveis com fluxos de dados alternativos (ADS)
Os atacantes podem ficar ainda mais furtivos? Infelizmente, sim!
O incrivelmente inteligente Oddvar Moe tem um grande post em fluxos de dados alternativos, e como ele pode ser usado para esconder scripts de malware e executáveis em um arquivo.,
ADS foi a resposta da Microsoft para apoiar a compatibilidade com o sistema de arquivos da Apple McIntosh. Na palavra Mac, OS arquivos têm um monte de metadados, além de dados regulares associados com eles. Para tornar possível armazenar esses metadados no Windows, a Microsoft criou anúncios.
Por exemplo, eu posso fazer algo assim:
numa primeira revisão, pode parecer que estou dirigindo o texto do meu.HTA file into ” stuff.txt”.
dê uma olhada mais de perto na imagem acima, e observe o”: evil. ps1 ” que está ligado. E depois muda o teu foco para o tamanho de “coisas”.txt: permanece em 0 bytes!
O que aconteceu com o texto que eu dirigi para o arquivo? Está escondido na parte de anúncios do sistema de ficheiros Windows. Acontece que eu posso executar diretamente scripts e binários que são secretamente mantidos na parte de anúncios do sistema de arquivos.,
e mais uma coisa
faremos um mergulho mais profundo em anúncios da próxima vez. O ponto maior é o alto nível de furtividade que se pode alcançar com a abordagem LoL ao hacking. Há outros binários que servem mestres duais, e você pode encontrar uma lista completa deles em github.
Por exemplo, existe uma classe de binários do Windows — por exemplo, esentutil, extrac32, e outros — que atua como uma ferramenta de cópia de arquivo. Em outras palavras, os atacantes não precisam necessariamente revelar-se usando o comando óbvio Windows “copy”.,
so security detection software that’s based on scanning the Windows Event log looking for the usual Windows file commands will miss sneaky LoL-based hacker file activity.
a lição é que você precisa, ahem, de uma plataforma de segurança que possa analisar a atividade do sistema de arquivos raw para determinar o que realmente está acontecendo. E depois notifica a tua equipa de segurança quando detectar acesso invulgar aos ficheiros e directórios subjacentes.a abordagem Lol-ware de hackear assusta-te um pouco? Nossa plataforma de segurança de dados Varonis pode detectar o que os hackers não querem que você veja. Inclina-te mais!