den här artikeln är en del av serien ”Living off the Land With Microsoft”. Kolla in resten:
- Behärskar Fileless Malware penetrationstester!,lware gömmer sig i din Windows System32 mapp: Intro till Regsvr32
- skadlig kod gömmer sig i din Windows System32 mapp: Mshta, HTA, och Ransomware
- skadlig kod gömmer sig i din Windows System32 mapp: Certutil och alternativa dataströmmar
- skadlig kod gömmer sig i din Windows System32 mapp: fler alternativa dataströmmar och Rundll32
- skadlig kod gömmer sig i din Windows System32 mapp: mer Rundll32 och LoL Säkerhetsförsvar Tips
Vi gillar inte att tro att kärnfönstret binärer på våra servrar är förklädd malware, men det är inte så konstigt idé., OS verktyg som regsrv32 och mshta (LoL-ware) är motsvarande i den icke-virtuella världen av trädgårdsredskap och stepladders vänster nära köksfönstret. Visst dessa verktyg är användbara för arbete runt gården, men tyvärr kan de också utnyttjas av skurkarna.
till exempel HTML-program eller HTA, som jag skrev om förra gången. Vid ett tillfälle var det ett användbart utvecklingsverktyg som gjorde det möjligt för personer att utnyttja HTML och JavaScript eller VBScript för att skapa webby-appar (utan hela webbläsaren chrome). Det var tillbaka i början.,
få gratis penna testa Active Directory miljöer EBook
Microsoft stöder inte längre HTA, men de lämnade den underliggande körbara, mshta.exe, liggande på Windows virtuella gräsmatta-mappen Windows \ System32.
och hackare har bara varit alltför ivriga att dra nytta av det. För att göra saken värre, på alltför många Windows-installationer, den .HTA filändelsen är fortfarande associerad med mshta., Ett phishmail offer som får en .HTA bifogade filer, kommer automatiskt att starta appen om hon klickar på den.
självklart måste du göra mer än att bara ta avstånd från .HTA förlängning för att stoppa alla attacker-se till exempel Windows Firewall mitigation i föregående inlägg. För sparkar, försökte jag direkt exekvera en .HTA-fil med mshta, och du kan se resultaten nedan:
det fungerade bra.,
i ett hackningsscenario där angriparen redan finns på offrets dator kan hon ladda ner nästa fas med hjälp av say curl, wget eller Powershells DownloadString och kör sedan den inbäddade JavaScript med mshta.
men hackare är alldeles för smart för att avslöja vad de gör genom uppenbara filöverföringskommandon! Hela poängen med att leva utanför landet med hjälp av befintliga Windows binärer är att dölja aktiviteter.
Certutil och Curl-Free Remote Downloading
detta leder till certutil, vilket är ännu en Windows binär som tjänar dubbla syften., Dess funktion är att dumpa, visa och konfigurera certification authority (CA) information. Du kan läsa mer om det här.
i 2017 hittade Casey Smith, samma infosec-forskare som berättade om riskerna i regsrv32, en dubbel användning för certutil. Smith märkte att certutil kan användas för att ladda ner en fjärrfil.
det här är inte helt förvånande eftersom certutil har fjärrfunktioner, men det är tydligt att det inte kontrollerar filens format — effektivt omvandlar certutil till LoL-ware-versionen av curl.
som det visar sig var hackare långt före forskarna. Det rapporterades att brasilianer har använt certutil under en tid.,
Så om hackare få tillgång till skal genom, säg, en SQL injection attack, de kan använda certutil för att ladda ner, säg, en fjärr PowerShell skript för att fortsätta attacken – utan att utlösa några virus eller malware skannrar söker efter uppenbara hackerverktyg.
dölja körbara filer med alternativa dataströmmar (annonser)
kan angriparna få ännu stealthier? Tyvärr, ja!
den otroligt smarta Oddvar Moe har ett bra inlägg på alternativa dataströmmar, och hur det kan användas för att dölja malware skript och körbara i en fil.,
annonser var Microsofts svar på att stödja kompatibilitet Med Apple mcintoshs filsystem. I Mac word, filer har en hel del metadata utöver vanliga data i samband med dem. För att göra det möjligt att lagra denna metadata i Windows skapade Microsoft annonser.
till exempel kan jag göra något så här:
på en första recension kan det se ut som om jag styr texten i min.HTA fil till ” Grejer.txt”.
ta en närmare titt på ovanstående skärmdump och Lägg märke till ”:evil.ps1″ som är fastsatt på. Och sedan flytta fokus till storleken på ” saker.txt”: det förblir vid 0 byte!
vad hände med texten jag riktade in i filen? Det är dolt i ANNONSDELEN av Windows-filsystemet. Det visar sig att jag direkt kan köra skript och binärer som hålls hemligt i ANNONSDELEN av filsystemet.,
och en sak till
Vi tar ett djupare dyk i annonser nästa gång. Den större punkten är den höga nivån av stealthiness man kan uppnå med LoL – metoden för hacking. Det finns andra binärer som tjänar dubbla mästare, och du kan hitta en komplett lista över dem på github.
det finns till exempel en klass av Windows — binärer — till exempel esentutil, extrac32 och andra-som fungerar som ett filkopieringsverktyg. Med andra ord behöver angriparna inte nödvändigtvis avslöja sig genom att använda det uppenbara Windows” copy ” – kommandot.,
så säkerhetsdetekteringsprogram som bygger på att skanna Windows-händelseloggen och leta efter de vanliga Windows-filkommandona kommer att sakna sneaky LoL-baserad Hacker-filaktivitet.
lektionen är att du behöver, ahem, en säkerhetsplattform som kan analysera raw-filsystemaktiviteten för att avgöra vad som verkligen händer. Och sedan meddela ditt säkerhetsteam när den upptäcker ovanlig tillgång till de underliggande filerna och kataloger.
skrämmer Lol-ware-metoden för hacking dig, bara lite? Vår Varonis Data Security Platform kan upptäcka vad hackare inte vill att du ska se. Luta mer!