Acest articol face parte din seria „Living Off The Land Cu Microsoft”. Check out restul:
- Master Fileless teste de penetrare Malware!,lware Ascunde în Windows System32: Introducere în Regsvr32
- Malware, se Ascunde în Windows System32: Mshta, HTA, și Ransomware
- Malware, se Ascunde în Windows System32: Certutil exe și Fluxuri de Date Alternative
- Malware, se Ascunde în Windows System32: Mai multe Fluxuri de Date Alternative și Rundll32 exe
- Malware, se Ascunde în Windows System32 Folder: Mai Rundll32 exe și LoL de Securitate Sfaturi de Apărare
nu Ne place să credem că nucleul Fereastra binare pe serverele noastre sunt deghizat malware, dar nu e o idee ciudată., Instrumentele OS, cum ar fi regsrv32 și mshta (lol-ware), sunt echivalente în lumea non-virtuală a uneltelor de grădină și a treptelor lăsate lângă fereastra bucătăriei. Sigur că aceste instrumente sunt utile pentru a lucra în jurul curții, dar, din păcate, ele pot fi, de asemenea, exploatate de băieții răi.
de exemplu aplicație HTML sau HTA, despre care am scris ultima dată. La un moment dat, a fost un instrument util de dezvoltare care le-a permis oamenilor IT să utilizeze HTML și JavaScript sau VBScript pentru a crea aplicații webby (fără tot browserul chrome). Asta a fost înapoi în primele ” aughts.,
pentru a Primi Gratuit Pen Testarea Medii Active Directory EBook
Microsoft nu mai acceptă HTA, dar au lăsat executabilul de bază, mshta.exe, situată pe peluza virtuală a Windows-folderul Windows \ System32.și hackerii au fost prea dornici să profite de ea. Pentru a înrăutăți lucrurile, pe prea multe instalații Windows,.extensia de fișier hta este în continuare asociată cu mshta., O victimă phishmail care primește un .fișiere atașate hta, va lansa automat aplicația dacă face clic pe ea.desigur ,va trebui să facă mai mult decât doar disocia .extensie hta pentru a opri toate atacurile-a se vedea, de exemplu, atenuarea Firewall-ului Windows în postul anterior. Pentru lovituri, am încercat executarea directă a unui .hta fișier folosind mshta, și puteți vedea rezultatele de mai jos:
a funcționat bine.,într-un scenariu de hacking în care atacatorul se află deja pe computerul victimei, ea ar putea descărca următoarea fază folosind say curl, wget sau PowerShell ‘ s DownloadString și apoi să ruleze JavaScript încorporat cu mshta.
dar hackerii sunt mult prea inteligenți pentru a dezvălui ceea ce fac prin comenzi evidente de transfer de fișiere! Scopul de a trăi în afara terenului folosind binarele Windows existente este de a ascunde activitățile.acest lucru duce la certutil, care este încă un alt Windows binar care servește scopuri duble., Funcția sa este de a arunca, afișa și configura informațiile autorității de certificare (CA). Puteți citi mai multe despre el aici.în 2017, Casey Smith, același cercetător infosec care ne-a spus despre riscurile din regsrv32, a găsit o dublă utilizare pentru certutil. Smith a observat că certutil poate fi folosit pentru a descărca un fișier la distanță.
Acest lucru nu este complet surprinzător, deoarece certutil exe are capacități de la distanță, dar e clar ca nu am verificat format de fișier, de cotitură în mod eficient certutil într-LoL-ware versiune de curl.după cum se dovedește, hackerii au fost cu mult înaintea cercetătorilor. Sa raportat că brazilienii folosesc certutil de ceva timp.,deci, dacă hackerii obțin acces la shell Prin, să zicem, un atac de injecție SQL, pot folosi certutil pentru a descărca, să zicem, un script PowerShell la distanță pentru a continua atacul — fără a declanșa niciun virus sau scanere malware care caută instrumente evidente de hacking.
ascunderea executabilelor cu fluxuri de date alternative (ADS)
pot atacatorii să devină și mai stealthier? Din păcate, da!uimitor de inteligent Oddvar Moe are un post mare pe fluxuri de date alternative, și modul în care acesta poate fi folosit pentru a ascunde script-uri malware și executabile într-un fișier.,anunțurile au fost răspunsul Microsoft la compatibilitatea cu sistemul de fișiere Apple McIntosh. În Mac word, fișierele au o mulțime de metadate pe lângă datele obișnuite asociate acestora. Pentru a face posibilă stocarea acestor metadate în Windows, Microsoft a creat anunțuri.
De exemplu, pot face ceva de genul asta:
la o primă recenzie, ar putea părea că direcționez textul meu .fișier hta în ” chestii.txt”.
aruncați o privire mai atentă la captura de ecran de mai sus și observați „:evil.ps1” care este atașat. Și apoi să vă concentrați pe dimensiunea „lucrurilor”.txt”: rămâne la 0 octeți!
ce s-a întâmplat cu textul pe care l-am direcționat în fișier? Este ascuns în partea de anunțuri a sistemului de fișiere Windows. Se pare că pot rula direct scripturi și binare care sunt ținute în secret în partea de anunțuri a sistemului de fișiere.,
și încă un lucru
vom face o scufundare mai profundă în anunțuri data viitoare. Punctul mai mare este nivelul ridicat de stealthiness se poate realiza cu abordarea LOL la hacking. Există și alte binare care servesc masterat dual, și puteți găsi o listă completă a acestora pe github.de exemplu, există o clasă de binare Windows — de exemplu, esentutil, extrac32 și altele — care acționează ca un instrument de copiere a fișierelor. Cu alte cuvinte, atacatorii nu trebuie să se dezvăluie neapărat folosind comanda evidentă „copiere” a Windows-ului.,deci, software-ul de detectare a securității care se bazează pe scanarea jurnalului de evenimente Windows în căutarea comenzilor obișnuite ale fișierelor Windows va lipsi activitatea de fișiere hacker bazată pe lol.
lecția este că aveți nevoie de o platformă de securitate care să poată analiza activitatea sistemului de fișiere raw pentru a determina ce se întâmplă cu adevărat. Și apoi notificați echipa de securitate atunci când detectează acces neobișnuit la fișierele și directoarele subiacente.
abordarea Lol-ware a hacking-ului te sperie, doar puțin? Platforma noastră de securitate a datelor Varonis poate observa ceea ce hackerii nu vor să vedeți. Apleacă-te mai mult!