TL; DR : Anda dapat mengemas file .exe biasa ke dalam file .appx Universal Windows Platform yang akan berjalan pada Windows 10 (build 1607 dan yang lebih baru) dengan cara yang sama seperti file .exe biasa. Ini dapat digunakan untuk serangan rekayasa sosial, melalui distribusi email - penyedia email tidak memblokir file APPX. File harus ditandatangani dengan tanda tangan digital yang valid.
Platform windows universal
Universal Windows Platform - (komparatif) standar baru untuk membuat aplikasi universal untuk Windows 10, Windows 10 Mobile, Xbox One dan Hololens. Standar muncul dengan rilis Windows 10, dan menyediakan API dengan pembatasan dan isolasi hak istimewa, format wadah dan metadata di dalamnya.
Aplikasi UWP diwakili secara luas di Microsoft Store. Mereka swasembada, aman, tidak memerlukan hak administrator untuk menginstal, menyimpan pengaturan di tempat yang ditentukan secara ketat, dan dapat dihapus sepenuhnya, langsung dari "awal".
UWP adalah upaya Microsoft untuk menyingkirkan pendekatan arsitektural lama dalam pengembangan program: untuk mengimplementasikan pemisahan hak istimewa seperti yang dilakukan pada platform seluler, untuk menjauh dari GUI WinAPI dengan kisi-kisi piksel (untuk dukungan penuh untuk layar kerapatan piksel apa pun).
Program UWP dapat ditulis dalam C #, C ++, VB, dan JS, dan XAML, DirectX, dan HTML disarankan sebagai kerangka kerja GUI.
Sampai saat ini, program-program UWP hanya dapat diisolasi, tetapi dalam perakitan Windows 10 1607 Microsoft mengimplementasikan Desktop Bridge - kemampuan untuk mengemas setiap program Win32 sebagai UWP, tanpa menggunakan API UWP, pembatasan hak istimewa dan isolasi.
Fitur ini membuka ruang lingkup untuk serangan rekayasa sosial.
Format APPX
UWP membakukan format file APPX - arsip ZIP biasa dengan struktur tertentu. File APPX harus mengandung AppxManifest.xml - file dengan deskripsi isi paket, yang dapat Anda hasilkan atau buat sendiri.
AppxManifest.xml berisi nama program, deskripsi, ikon, hak istimewa yang diperlukan, nama file yang akan dijalankan dan titik masuk di dalamnya.
Agar file APPX diinstal, ia harus ditandatangani dengan tanda tangan digital yang valid dengan kemungkinan menandatangani kode yang dipercaya oleh pusat pemberitahuan.
Contoh file AppxManifest.xml dengan isolasi dinonaktifkan<?xml version="1.0" encoding="utf-8"?> <Package xmlns="http://schemas.microsoft.com/appx/manifest/foundation/windows10" xmlns:uap="http://schemas.microsoft.com/appx/manifest/uap/windows10" xmlns:rescap="http://schemas.microsoft.com/appx/manifest/foundation/windows10/restrictedcapabilities"> <Identity Name="MyCompany.MySuite.MyApp" Version="1.0.0.0" Publisher="CN=Contoso Software, O=Contoso Corporation, C=US" ProcessorArchitecture="x64" /> <Properties> <DisplayName>test</DisplayName> <PublisherDisplayName>test</PublisherDisplayName> <Description>test</Description> <Logo>logo.png</Logo> </Properties> <Resources> <Resource Language="en-us" /> </Resources> <Dependencies> <TargetDeviceFamily Name="Windows.Desktop" MinVersion="10.0.14316.0" MaxVersionTested="10.0.15063.0" /> </Dependencies> <Capabilities> <rescap:Capability Name="runFullTrust"/> </Capabilities> <Applications> <Application Id="MyApp" Executable="MyApp.exe" EntryPoint="Windows.FullTrustApplication"> <uap:VisualElements DisplayName="MyApp" Description="MyApp" Square150x150Logo="logo.png" Square44x44Logo="logo.png" BackgroundColor="#666666" /> </Application> </Applications> </Package>
Cara termudah untuk mengemas file exe Win32 yang ada di appx menggunakan Desktop Bridge adalah dengan menulis file manifes secara manual dan membuat wadah appx menggunakan utilitas makeappx.exe yang termasuk dalam Windows SDK.
makeappx.exe pack /d input_directory /p output.appx
Kemudian masuk dengan signtool.exe:
signtool.exe sign /f "mycert.pfx" /p "123456" /fd sha256 /tr http://timestamp.comodoca.com/?td=sha256 /td sha256 output.appx
Manfaat APPX untuk Teknik Sosial
File APPX dapat digunakan dalam milis, sebagai pengganti file exe, dalam kasus di mana server mail menyaring pesan dengan lampiran exe.
Instalasi APPX berlangsung dalam satu klik, tidak memerlukan hak administrator. Di penginstal, tanda centang untuk memulai program setelah instalasi diperiksa secara default, dan program akan segera dimulai jika pengguna tidak menghapusnya.
Semua layanan email populer tidak memblokir file APPX dalam lampiran email.
Gmail memiliki fitur aneh: file harus lebih besar dari 4 megabita.
Ringkasan
Manfaat APPX Desktop Bridge untuk distribusi virus:
- Anda dapat menggunakan "sebagai file exe"
- Tidak memaksakan pembatasan isolasi atau hak istimewa
- Instal dan jalankan dalam satu klik
- Tidak difilter oleh server surat
Kekurangan :
- Membutuhkan sertifikat untuk menandatangani kode
- Hanya berfungsi pada Windows 10 1609 dan yang lebih baru.
Referensi
Contoh file APPX Desktop Bridge (dengan sertifikat yang ditandatangani sendiri)
Petunjuk Pengemasan APPXPetunjuk untuk membuat file manifes secara manualInformasi Jembatan Desktop