Geekly articles weekly

Social Engineering mit APPX-Software (Universal Windows Platform)

Das Bild zeigt verschiedene Geräte (PCs, Smartphones, IoT, Xbox, Surface Hub, Hololens), die universelle Windows-Plattformanwendungen unterstützen

TL; DR : Sie können eine reguläre EXE-Datei in die APX-Datei der Universal Windows Platform packen, die unter Windows 10 (Build 1607 und neuer) ähnlich wie reguläre EXE-Dateien ausgeführt wird. Dies kann für Social-Engineering-Angriffe über die E-Mail-Verteilung verwendet werden - E-Mail-Anbieter blockieren keine APPX-Dateien. Die Datei muss mit einer gültigen digitalen Signatur signiert sein.

Universelle Windows-Plattform

Universal Windows Platform - (vergleichsweise) ein neuer Standard zum Erstellen universeller Anwendungen für Windows 10, Windows 10 Mobile, Xbox One und Hololens. Der Standard wurde mit der Veröffentlichung von Windows 10 veröffentlicht und bietet eine API mit Berechtigungsbeschränkungen und -isolation, dem Format des Containers und den darin enthaltenen Metadaten.
UWP-Anwendungen sind im Microsoft Store weit verbreitet. Sie sind autark, sicher, erfordern keine Administratorrechte für die Installation, speichern Einstellungen an streng festgelegten Orten und können von Anfang an vollständig entfernt werden.

UWP ist ein Versuch von Microsoft, alte architektonische Ansätze für die Programmentwicklung zu beseitigen: die Trennung von Berechtigungen wie auf mobilen Plattformen zu implementieren, um die WinAPI-Benutzeroberfläche mit einem Pixelraster zu verlassen (für die vollständige Unterstützung von Bildschirmen mit beliebiger Pixeldichte).
UWP-Programme können in C #, C ++, VB und JS geschrieben werden, und XAML, DirectX und HTML werden als GUI-Frameworks vorgeschlagen.

Bis vor kurzem konnten UWP-Programme nur isoliert werden, aber in der Assembly von Windows 10 1607 implementierte Microsoft die Desktop Bridge - die Möglichkeit, alle Win32-Programme als UWP zu packen, ohne die UWP-API, Berechtigungsbeschränkungen und Isolation zu verwenden.
Diese Funktion eröffnet Möglichkeiten für Social-Engineering-Angriffe.

APPX-Format

UWP standardisiert das APPX-Dateiformat - ein reguläres ZIP-Archiv mit einer bestimmten Struktur. Die APPX-Datei muss AppxManifest.xml enthalten - eine Datei mit einer Beschreibung des Inhalts des Pakets, die Sie selbst generieren oder erstellen können.
AppxManifest.xml enthält den Programmnamen, die Beschreibung, das Symbol, die erforderlichen Berechtigungen, den Namen der auszuführenden Datei und den darin enthaltenen Einstiegspunkt.
Damit die APPX-Datei installiert werden kann, muss sie mit einer gültigen digitalen Signatur signiert sein, mit der Möglichkeit, einen Code zu signieren, dem das Benachrichtigungszentrum vertraut.

Beispiel einer AppxManifest.xml-Datei mit deaktivierter Isolierung
<?xml version="1.0" encoding="utf-8"?> <Package xmlns="http://schemas.microsoft.com/appx/manifest/foundation/windows10" xmlns:uap="http://schemas.microsoft.com/appx/manifest/uap/windows10" xmlns:rescap="http://schemas.microsoft.com/appx/manifest/foundation/windows10/restrictedcapabilities"> <Identity Name="MyCompany.MySuite.MyApp" Version="1.0.0.0" Publisher="CN=Contoso Software, O=Contoso Corporation, C=US" ProcessorArchitecture="x64" /> <Properties> <DisplayName>test</DisplayName> <PublisherDisplayName>test</PublisherDisplayName> <Description>test</Description> <Logo>logo.png</Logo> </Properties> <Resources> <Resource Language="en-us" /> </Resources> <Dependencies> <TargetDeviceFamily Name="Windows.Desktop" MinVersion="10.0.14316.0" MaxVersionTested="10.0.15063.0" /> </Dependencies> <Capabilities> <rescap:Capability Name="runFullTrust"/> </Capabilities> <Applications> <Application Id="MyApp" Executable="MyApp.exe" EntryPoint="Windows.FullTrustApplication"> <uap:VisualElements DisplayName="MyApp" Description="MyApp" Square150x150Logo="logo.png" Square44x44Logo="logo.png" BackgroundColor="#666666" /> </Application> </Applications> </Package>

Der einfachste Weg, eine vorhandene Win32-exe-Datei in Appx mit Desktop Bridge zu verpacken, besteht darin, die Manifestdatei manuell zu schreiben und den Appx-Container mit dem im Windows SDK enthaltenen Dienstprogramm makeappx.exe zu erstellen.
 makeappx.exe pack /d input_directory /p output.appx

Dann mit signtool.exe unterschreiben:
 signtool.exe sign /f "mycert.pfx" /p "123456" /fd sha256 /tr http://timestamp.comodoca.com/?td=sha256 /td sha256 output.appx


APPX-Vorteile für Social Engineering

APPX-Dateien können in Mailinglisten als Ersatz für Exe-Dateien verwendet werden, wenn der Mailserver Nachrichten mit Exe-Anhängen filtert.
Die APPX-Installation erfolgt mit einem Klick und erfordert keine Administratorrechte. Im Installationsprogramm ist das Häkchen zum Starten des Programms nach der Installation standardmäßig aktiviert, und das Programm wird sofort gestartet, wenn der Benutzer es nicht entfernt.



Alle gängigen E-Mail-Dienste blockieren keine APPX-Dateien in E-Mail-Anhängen.
Google Mail hat eine seltsame Funktion: Die Datei muss größer als 4 Megabyte sein.

Lieferung von APPX-Dateien per Yandex, Mail.ru und GMail Mail

Zusammenfassung

Vorteile von APPX Desktop Bridge für die Virenverteilung:
  • Sie können "als exe-Datei" verwenden
  • Erlegt keine Isolations- oder Berechtigungsbeschränkungen auf
  • Wird mit einem Klick installiert und ausgeführt
  • Nicht von Mailservern gefiltert

Nachteile :
  • Erfordert ein Zertifikat zum Signieren eines Codes
  • Funktioniert nur unter Windows 10 1609 und höher.


Referenzen

Beispiel APPX Desktop Bridge-Datei (mit selbstsigniertem Zertifikat)
APPX Packanleitung
Anweisungen zum manuellen Erstellen einer Manifestdatei
Desktop Bridge-Informationen

Source: https://habr.com/ru/post/de430692/

More articles:


All Articles