如何进一步滥用SettingContent-ms投递载荷

栏目: 编程工具 · 发布时间: 6年前

内容简介:微软的

如何进一步滥用SettingContent-ms投递载荷

一、前言

微软的 SettingContent-ms 文件已经成为近期的一个热门话题。在7月份,我们看到有个垃圾邮件攻击活动使用了PDF中内嵌的恶意 SettingContent-ms 文件 来释放远程访问木马(RAT) FlawedAmmyy ,该恶意软件也是Necurs僵尸网络所使用的RAT。此次攻击活动主要针对的是亚洲和欧洲境内的不同银行机构。

SettingContent-ms 是微软软件的新成员,从Windows 10开始首次引入。该文件中的内容采用XML格式(或者语言),正常情况下,这些文件包含Windows功能(比如更新过程以及用来打开特定文件类型的默认应用程序)的一些设置选项。这种文件的最常见用途就是充当老版本Windows控制面板的快捷方式。

如何进一步滥用SettingContent-ms投递载荷

图1. SettingContent-ms 文件扩展名及图标

二、DeepLink标签

如何进一步滥用SettingContent-ms投递载荷

图2. SettingContentDeepLink 标签的正常用法

除了垃圾邮件攻击活动以外,Specter Ops在7月份还发布了关于微软 SettingContent-ms 文件的一些 概念验证(PoC)研究 。研究人员以及攻击者的成果表明,我们通常可以将 DeepLink 标签下的命令行替换为其他恶意内容,这样就能滥用 SettingContent-ms 文件。当微软从研究人员处获知这种方法时,他们并不认为这是一个操作系统漏洞。但在2018年8月,微软发布了一个补丁来修复这个问题: CVE-2018-8414

如何进一步滥用SettingContent-ms投递载荷

图3. 隐藏在 DeepLink 标签中的恶意命令行

从图3中我们可以看到如何滥用 SettingContent-ms 的一个典型样例。在 DeepLink 标签中的恶意命令行可以执行 PowerShell 脚本,从恶意站点下载并执行攻击载荷。

进一步分析这种攻击方法后,我们发现这种方法存在一定缺陷。单独使用 DeepLink 的优缺点如下:

优点:

1、容易部署;

2、文件大小较小(乍一看不容易引起怀疑)。

缺点:

1、最大只能接受517个字符;

2、仅限于某些命令执行技术,比如

命令提示符
PowerShell
MSHTA
Certutil
Bitsadmin
WMI

基于这些信息,我们进一步做了一些研究,探索是否可以使用 SettingContent-ms 来部署其他技术。之前研究人员 提到过 可以利用 Icon 标签来承载恶意载荷。为了验证这种技术是否有效,我们创建了一个 SettingContent PoC样本,其中同时使用了 DeepLink 以及 Icon 标签来安装载荷。

三、Icon标签

在这种恶意场景中, DeepLink 标签必须仅包含能够调用 Icon 标签内容(主载荷)的一个命令行。在PoC例子中,我们将经过大量混淆的一个脚本存放在 Icon 标签中,如下图所示。

如何进一步滥用SettingContent-ms投递载荷

图4. DeepLink 调用 Icon 标签内容

如何进一步滥用SettingContent-ms投递载荷

图5. Icon 标签中包含的恶意PowerShell脚本(已去混淆处理)

我们测试了这种基于 Icon 的载荷能否适用于较长的、复杂的或者经过混淆的脚本,事实证明的确如此。在PoC样本 Icon 标签中的PowerShell脚本来自于之前的某个恶意软件( TROJ_PSINJECT.A ),能够下载 ANDROM/GAMARUE 恶意软件。

即便填充这些数据后,文件的图标貌似不会受到影响(如图1所示),并且我们发现不管往 Icon 标签写入任何内容,文件图标总是会以空白图标的方式呈现。

如果这种技术在未来可能成为潜在的安全风险,我们认为这种方法也有一些优缺点。

优点

1、易于部署;

2、 Icon 标签可接受无限长的字符;

3、不限于简单的命令执行,可以用来部署其他脚本技术,如 ReflectivePEInjection 、后门等等。

缺点

文件大小较大,乍一看容易引起怀疑。

四、解决方案

这种技术表明网络犯罪分子可以使用各种 工具 来部署有效且复杂的载荷。在本文中,我们首先描述了如何利用 SettingContent-ms 中的 DeepLink 标签来执行简单的恶意命令,随后我们发现可以通过 Icon 标签部署更加复杂且更长的载荷。

SettingContent-ms 类似,还有许多正常文件可能会被攻击者滥用,因此我们必须继续研究不同的应用,保持对攻击者以及安全威胁的领先地位。

为了防护类似滥用 SettingContent-ms 的安全威胁,我们需要采用具备行为监控功能的解决方案,可以在恶意载荷在受害者主机上运行之前,识别并阻止这些文件中的恶意命令。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

人人时代

人人时代

[美]克莱•舍基(Clay Shirky) / 胡泳、沈满琳 / 中国人民大学出版社 / 2012-8 / 49.90元

[内容简介] •一而再,再而三出现的公众事件,绝不仅是来自草根的随兴狂欢,而是在昭示着一种变革未来的力量之崛起!基于爱、正义、共同的喜好和经历,人和人可以超越传统社会的种种限制,灵活而有效地采用即时通信、移动电话、网络日志和维基百科等新的社会性工具联结起来,一起分享、合作乃至展开集体行动。人人时代已经到来。 •微软、诺基亚、宝洁、BBC、乐高、美国海军最推崇的咨询顾问,“互联网革命最伟......一起来看看 《人人时代》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具