當前位置:
首頁 > 新聞 > 如何濫用Windows utilities傳播惡意軟體

如何濫用Windows utilities傳播惡意軟體

攻擊者在釣魚攻擊活動中濫用Windows utilities,因為與附件或嵌入的惡意軟體相比,這種方式很難識別和檢測。難以識別的原因是因為這些工具的功能就是如此,很容易被用作惡意目的。目前發現被濫用的Windows utilities有Certutil, Schtasks, Bitsadmin和MpCmdRun。

Certutil

Certutil是一個基本的命令行實用工具,被用作Dreambot擴展活動的一部分。Certutil早在2015年就被攻擊者利用來安裝假的證書用作MITM攻擊,還可用來下載base 64編碼或十六進位編碼的文件偽裝成證書。因為防火牆的規則無法判斷經過編碼的證書是否是惡意軟體。

圖1: Certutil被用作下載編碼的文件

圖2: Certutil下載的偽裝的證書

圖3: Certutil命令被用於解碼證書

圖4: 圖3 中Certutil命令解碼圖2中證書的結果

Certutil執行HTTP請求的方式會讓它後續繼續被濫用。Certuti會用兩個不同序列後的HTTP GET請求兩個不同的User-Agents (圖5),攻擊者利用這個特性可用確保只有使用準確的User-Agents時間才下載文件。如果響應一個假的「Not Found」響應消息(圖6) ,伺服器是不能阻止研究人員和防護者訪問payload的。假的「Not Found」響應消息可以幫助伺服器避免自動URL掃描器的檢測,因為會將「Not Found」響應消息解釋為沒有惡意文件。

圖5: Certutil唯一的HTTP GET User-Agents

圖6: 假的「Not Found」 響應

Schtasks

另一個常被濫用的Windows utility是schtasks。schtasks.exe可以安排命令和程序定期運行或在指定時間內運行。在惡意攻擊者了解了如何安排計劃任務和識別執行目標後,就被用作駐留目的。

圖7: 每2天運行一次可執行文件的命令

攻擊者可以安排在特定的時間執行腳本或二進位文件,比如用戶登陸時,或滿足特定條件時。滿足的特定條件可以是有網路連接、系統空閑等。

這種方式要比在開始菜單留下腳本或者可執行文件要隱蔽的多,因為startup文件夾是最早被反病毒軟體檢查的地方,而且用戶也可以查看。

圖8:圖7 命令創建的任務配置文件

圖9: Startup文件夾中釋放的惡意文件

使用schtasks後,攻擊者可以更好的偽裝其惡意活動。另一個好處是,用於保存任務信息的文件不需要擴展名,一些反病毒軟體就會忽略這些文件。

BITSAdmin

BITSAdmin(Background Intelligent Transfer Service)工具是Windows文件傳輸實用程序,從Windows 2007起開始使用,常被CVE和office macro替代powershell用作下載文件(圖10)。Powershell命令通常是留存日誌的,而且通過Powershell直接下載文件會觸發行為檢測系統,而BITSadmin一般使用已有的svchost.exe進程來執行動作,所以看起來是通過svchost.exe完成文件創建和下載。svchost.exe創建文件和連接到網路是比較正常的,因為這是一種正常行為,所以一些本地的反病毒軟體就會忽視該行為。

圖10: bitsadmin下載命令

BITSAdmin的另一個好處就是下載文件的方式比較特殊。BITSAdmin使用特殊的User-Agent (Microsoft BITS/7.5)來請求文件,而不是用HTTP GET請求。工具首先會用HTTP HEAD請求檢查資源是否存在,如果資源存在,BITSAdmin會遵循HTTP GET請求(圖11)。與Certutil類似,只有使用正確的User-Agent才可以下載文件,而HTTP HEAD請求就會被攻擊者濫用。

圖11: BITSAdmin下載通信示例

MpCmdRun

MpCmdRun是Microsoft的命令行實用工具,用於與Windows Defender Antivirus進行交互。MpCmdRun對於自動執行的任務是非常有用的,比如系統管理員可以用MpCmdRun遠程更新Windows Defender。當自動更新不能正常工作時,該功能常被用於Windows defender回滾,然後更新簽名定義。但該工具有一些缺陷。

攻擊者可以濫用該工具來重置反病毒軟體的簽名,並修改Windows Defender的行為。最近,有Office macro腳本使用了該技巧,在關閉所有打開的Office程序前對Windows Defender進行修改,並通過註冊表項目關閉了Microsoft Office的部分安全設定。

如圖12所示,MpCmdRun使用的命令刪除了動態簽名,但沒有刪除所有簽名。通過使用MpCmdRun,攻擊者可以在不關閉Windows Defender的前提下避免被檢測到,然後進一步控制被感染的環境。

圖12: 使用MpCmdRun的 Office Macro腳本

總結

Windows utilities被用作惡意用途並不是一種新的趨勢,但這種特徵的濫用說明通過釣魚直接進行payload傳播可能會成為一種新的趨勢。

更多內容請參考https://cofense.com/abusing-microsoft-windows-utilities-deliver-malware-fun-profit/


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

動態二進位插樁的原理和基本實現過程(一)
Facebook又被曝出數據泄露事件,牽涉用戶多達1.2億

TAG:嘶吼RoarTalk |