エクスプロイトに対するボディーシャツ

こんにちは、USERNAME％さん。 私の名前はセルゲイ・ゴロバノフです。私は今でもカスペルスキーのウイルス分析の第一人者です。 会社の企業ブログのこの投稿の名前は笑い、悲しみ、そしててんかんの発作を引き起こすことさえあることを理解していますが、すべてを説明させてください。



batnikiはすべて非常にシンプルなもののように見え、AUTOEXEC.BATが悪用されて以来、ほとんど忘れられていることを理解しています。 しかし！ この投稿では、これらのアイデアをひっくり返して、すべてが逆のように見えることを伝えようとします。 ボディーシャツはブレインファック機能の点でわずかに軽くて強力であり、エクスプロイトは基本にバブルを付けて分類するよりも悪くありません。









（注意！3 MBの図解された意識の流れと一連のスクリプト）

どうやってこれに到達しましたか？

2 GBのRAMの最小システム要件を備えたWindows 7 x64のボックスに遭遇しました！ そして、これらのギガバイトすべてに、エクスプロイトやドライブバイなどの逆境からユーザーを保護できる数キロバイトのコードがないのではないかと思っていました 。 これは、MSの5年間にわたるすべてのOSの惨劇です！ 少なくとも何らかの保護のための手段が必要ですか？ しかし、それらを編む方法、そして標準的な手段でさえ？ ボディシャツの助けを借りて。 そしてどうやって？ これを理解するには、このシートを最後まで読む必要があります。 8）

理論

エクスプロイトレスポンスの単純化された理論では、すべては次のようになります。 実際には、これはしばしば次のようになります：インターネットをサーフィンしているユーザーは、正直にハッキングされたサイトにアクセスします。そこで、有用な情報とともに、JavaScriptまたはJavaScriptへのリダイレクトが提供されます.USER-AGENTを分析することで、プラグインに関する情報などが提供されます ユーザーに機能するエクスプロイトをユーザーに提供します。 その後、トロイの木馬はユーザーのマシンにダウンロードされ、起動され、システムに登録され、その汚い仕事を始めます。









Google Anti-Malware Teamからの画像のDrive-Byに関する画像の紛失、

ありそうな敵の言語で読む



（-SG。ジュリア、正しい、次の文の意味の範囲内で、それが明確になるように、このコメントを削除してください。-編集者。意味に従って？はい、「記憶を割り当てた」後、何も理解できません。コメント。）



もう少し掘り下げると、このようなエクスプロイトパックでは、多くの場合（ほとんどの場合）犠牲者プロセス中にペイロードが自身にメモリを割り当て、必要なシステム機能を検索し、インターネットからローカルエリアにファイルを保存し、CreateProcessまたはごくまれにShellExecuteを実行します。特権昇格の問題は、ダウンロードしたものにリダイレクトされます。 すべてが基本的にシンプルで明確です。 そして、それについてどうすればいいですか？ 弱点の5番目のポイントをつかむ！ スキーム全体に1つの脆弱性があります。どのアプリケーションがパンチされるかは関係ありません。主なことは、トロイの木馬でファイルを実行することです。 したがって、ユーザーのコンピューターで余分なファイルが開始されないようにするだけで、標準的な方法でこれを行う必要があることがわかります。

標準ツール

Windows 7では、プログラムを制限または拡張する方法がいくつかあります。 おそらく最も一般的な手段は、 ACLとあらゆる種類のポリシーです。









MicrosoftのVisual SRP（ソフトウェア制限ポリシー）



原則として、特別なユーザーアカウントを作成し、システムに特別な権利を割り当て、潜在的に脆弱なアプリケーションをその下に置くことは誰にとっても秘密ではありません。 マウスでの5分間のタキシング-これで完了です。 問題は、特に管理者がネットワーク上のすべてのマシンでこれを行う必要がある場合、まれなユーザーがこれを行うことです。 したがって、バッチファイルを作成してみましょう。バッチファイルでは、ほぼ同じことを行うだけで、さらに使いやすく、しかも使いやすくなっています。

ボディシャツ

合計：バッチファイルは、標準権限を持つユーザーを作成し、特定のソフトウェアのみを実行するようにこれらの権限を変更し、最後にユーザーにとって透過的で便利なものにする必要があります。 始めましょう...

1.ユーザーを作成します。 景品。

net user saferun_user Passw0rd /add







ここではユーザー名とパスワードを例として示していますが、これらは％random％で希釈する必要があります。したがって、すべてのバッチファイルユーザーがマシン上で同じユーザー名とパスワードを持っていることがわかりません。 そして、Backdoor.Bat.Hren.aのようなものになりますが、まだ検出する必要があります...）））

2.権限を変更します。 ええと、すでに問題があります

次のように、PowerShellを使用してAppLockerに実行権限を割り当てる必要があります。



PS C:\> Get-ApplockerFileInformation -Directory 'C:\Program Files (x86)\Adobe\' -Recurse -FileType Exe | New-ApplockerPolicy -RuleType Publisher -User SafeRun_user -RuleNamePrefix Adobe -Optimize -Xml > Adoby.xml

PS C:\> Set-AppLockerPolicy –XmlPolicy Adoby.xml







ただし、このallながらくたはすべて、「Windows 7のUltimateバージョンとEnterpriseバージョンでのみ使用可能です」。 したがって、Windows 7のホームバージョンの代替として、ペアレンタルコントロール（ フォーラムへのリンク -冗談ではありません）を使用できます。これは、実行可能なプログラムに関する情報を保存します。



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Parental Controls\Users\UID\App Restrictions







これは、政治家が炉にいることを意味します。これは不便であるため、特にVistaから始まって素晴らしいICACLSチームが登場したため、ACLを使用します。 原則として、以下に記述されているものはすべてXCACLSを使用してXPに投影できますが、デフォルトではXPにはそのようなコマンドはなく、リソースキットパッケージにのみ含まれています。



合計で、Windows 7では、グループのアクセス許可のおかげで、最初にユーザーを既定のグループから削除して、どこでもファイルを作成できるように制限します。



net localgroup users saferun_user /delete







そして今、親愛なるユーザー、 あなたは失敗であり 、あなたがプロファイルからファイルを実行することを許可されていないとしましょう、それはあなたがファイルを作成することを許可されている唯一の場所です。



icacls %USERPROFILE% /deny saferun_user:(OI)(IO)(WDAC,WO,X)







（-エディタ。あなたはまだ何かをチェックして修正するように私に頼むだろう。コメントを殺すことを忘れないでください。）



パラメーター「（OI）（IO）」は、指定されたフォルダーにあるすべてのファイルが親の権限を継承していることを示しているようです。これは実際には実行を拒否します。 権利セットが機能することを確認します。



C:\Users\Golovanov>runas /user: saferun_user cmd.exe

Enter the password for saferun_user:

Attempting to start cmd.exe as user “saferun_user" ...

C:\Windows\system32> cd %temp%

C:\Users\saferun_user\AppData\Local\Temp>%windir%notepad.exe

C:\Users\saferun_user\AppData\Local\Temp>copy c:\windows\notepad.exe .

1 file(s) copied.

C:\Users\saferun_user\AppData\Local\Temp>.\notepad.exe

Access is denied.







合計：WindowsフォルダーのNotepad.exeが機能し、TEMPフォルダーにコピーして実行すると、アクセスが拒否されます。 すべてがOKです。 続けましょう。

3.使いやすさ

使いやすくするために、新しいユーザーの下で最大数の異なるブラウザーに対して透過的な起動をサポートする必要があります。 このようにすることをお勧めします：



1.現在のユーザーのブラウザープロファイルを新しいユーザーにコピーします。 たとえば、Firefoxの場合、次のようになります。



xcopy /E /I /C /Y /Q /H /R %APPDATA%\Mozilla\* C:\Users\saferun_user\AppData\Roaming\Mozilla\







2.ブラウザーのRunas起動を登録するVBSブラウザーを含むフォルダーにファイルを作成します。 RunasのSTDINでパスワードを受信する際の制限を回避するには、VBSを介してこれを行う必要があります。 Fine Microsoftは、OSのセキュリティを強化するためにこれを行いました 。 いつものように、セキュリティは依然として疑わしく、hemoは増加しました。 VBSファイルは、たとえば次のようになります。



Option explicit

Dim oShell

set oShell= Wscript.CreateObject("WScript.Shell")

oShell.Run "RunAs /noprofile /user:saferun_user Firefox.exe"

WScript.Sleep 1000

oShell.Sendkeys "Passw0rd"

oShell.Sendkeys "{ENTER}"

Wscript.Quit







少しコメント。 インターネット上では、Sendkeysが一部のバージョンで見つからないか禁止されていると書いていますが、Windows 7 Professional、Ultimate、Homeではすべてが機能します。 続けます。



3.ブラウザーアイコンを使用して、新しく作成したVBSファイルへのショートカットを作成します。



Set oWS = WScript.CreateObject("WScript.Shell")

sLinkFile = "C:\firefox_saferun.LNK"

Set oLink = oWS.CreateShortcut(sLinkFile)

oLink.TargetPath = "C:\Program Files (x86)\Mozilla Firefox\firefox.vbs"

oLink.IconLocation = "C:\Program Files (x86)\Mozilla Firefox\firefox.exe,0"

oLink.WorkingDirectory = "C:\Program Files (x86)\Mozilla Firefox\"

oLink.Save





4.ユーザーがブラウザ上にすでに持っているすべてのショートカットを新しいショートカットに置き換えます。 冗談。 デスクトップ上の別のフォルダーにショートカットを配置し、そこでユーザー自身が決定します。

バッチファイルリスト

全体として、すべてが問題ないように見えます。

 ::Writed by: Sergey.Golovanov at kaspersky.com for habrahabr.ru @echo on @Echo This batch file will create a new user for browsers with no rights to run downloaded from Internet files. Pause ::Setup new user:: set safeusername=saferun_user_%random% set safepassword=%random%Ai%random% echo Login: %safeusername% echo Password: %safepassword% net user %safeusername% /delete del Browserlist4saferun.txt net user %safeusername% %safepassword% /add ::init new user profile:: echo Option explicit > init_new_user_profile.vbs echo Dim oShell >> init_new_user_profile.vbs echo set oShell= Wscript.CreateObject("WScript.Shell") >> init_new_user_profile.vbs echo oShell.Run "RunAs /profile /user:%safeusername% ping" >> init_new_user_profile.vbs echo WScript.Sleep 1000 >> init_new_user_profile.vbs echo oShell.Sendkeys "%safepassword%" >> init_new_user_profile.vbs echo oShell.Sendkeys "{ENTER}" >> init_new_user_profile.vbs echo Wscript.Quit >> init_new_user_profile.vbs call cscript init_new_user_profile.vbs ping -n 10 localhost >> nul del init_new_user_profile.vbs ::Setup privileges for new user:: net localgroup users %safeusername% /delete icacls c:\users\%safeusername%\ /deny %safeusername%:(OI)(IO)(WDAC,WO,X) ::Setup browsers:: :FindOpera if exist %APPDATA%\Opera\ xcopy /E /I /C /Y /Q /H /R %APPDATA%\Opera\* C:\Users\%safeusername%\AppData\Roaming\Opera\ if exist "%Programfiles%\Opera\Opera.exe" goto run4opera if exist "%Programfiles(x86)%\Opera\Opera.exe" goto run4operax86 Goto FindFireFox :run4opera echo Opera^|%Programfiles%\Opera>> Browserlist4saferun.txt Goto FindFireFox :run4operax86 Set Browsername=Opera echo Opera^|%Programfiles(x86)%\Opera>> Browserlist4saferun.txt Goto FindFireFox :FindFireFox if exist %APPDATA%\Mozilla\ xcopy /E /I /C /Y /Q /H /R %APPDATA%\Mozilla\* C:\Users\%safeusername%\AppData\Roaming\Mozilla\ if exist "%Programfiles%\Mozilla Firefox\Firefox.exe" goto run4Firefox if exist "%Programfiles(x86)%\Mozilla Firefox\Firefox.exe" goto run4Firefoxx86 Goto FindChrome :run4Firefox echo Firefox^|%Programfiles%\Mozilla Firefox>> Browserlist4saferun.txt Goto FindChrome :run4Firefoxx86 echo Firefox^|%Programfiles(x86)%\Mozilla Firefox>> Browserlist4saferun.txt Goto FindChrome :FindChrome If exist %LOCALAPPDATA%\Google\Chrome\Application\chrome.exe goto run4chrome Goto FindIE :run4chrome ::// Can work for some versions of Chrome by not stable. Dissabled for performance. ::xcopy /E /I /C /Y /Q /H /R %LOCALAPPDATA%\Google\Chrome\* C:\Users\%safeusername%\AppData\Local\Google\Chrome\ ::for /r C:\Users\%safeusername%\AppData\Local\Google\Chrome\ %%C in (*.exe) do icacls %%C /grant %safeusername%:(X) ::for /r C:\Users\%safeusername%\AppData\Local\Google\Chrome\ %%C in (*.dll) do icacls %%C /grant %safeusername%:(X) ::echo Chrome^|C:\Users\%safeusername%\AppData\Local\Google\Chrome\Application\>> Browserlist4saferun.txt Goto FindIE :FindIE ::// TODO A lot of XCOPYs if exist "%LOCALAPPDATA%\Microsoft\Internet Explorer" ( xcopy /E /I /C /Y /Q /H /R "%USERPROFILE%\Favorites\*" "C:\Users\%safeusername%\Favorites\" xcopy /E /I /C /Y /Q /H /R "%LOCALAPPDATA%\Microsoft\Internet Explorer\*" "C:\Users\%safeusername%\AppData\Local\Microsoft\Internet Explorer\" xcopy /E /I /C /Y /Q /H /R "%LOCALAPPDATA%\Microsoft\Windows\History\*" "C:\Users\%safeusername%\AppData\Local\Windows\History\" xcopy /E /I /C /Y /Q /H /R "%APPDATA%\Roaming\Microsoft\Windows\Cookies\*" "C:\Users\%safeusername%\AppData\Roaming\Microsoft\Windows\Cookies\" ) if exist "%Programfiles(x86)%\Internet Explorer\iexplore.exe" goto run4iex86 if exist "%Programfiles%\Internet Explorer\iexplore.exe" goto run4ie :run4iex86 echo IExplore^|%Programfiles(x86)%\Internet Explorer>> Browserlist4saferun.txt goto MakeLinks :run4ie echo IExplore^|%Programfiles%\Internet Explorer>> Browserlist4saferun.txt ::Make links:: :MakeLinks rd /s /q %USERPROFILE%\Downloads\Browser rd /s /q %USERPROFILE%\Desktop\SafeLinks mklink /d %USERPROFILE%\Downloads\Browser C:\Users\%safeusername%\Downloads mkdir %USERPROFILE%\Desktop\SafeLinks echo on For /f "tokens=1,2 delims=|" %%A in (Browserlist4saferun.txt) do ( echo Option explicit > "%%B\%%A.vbs" echo Dim oShell >> "%%B\%%A.vbs" echo set oShell= Wscript.CreateObject^("WScript.Shell"^) >> "%%B\%%A.vbs" echo oShell.Run "RunAs /user:%safeusername% %%A.exe" >> "%%B\%%A.vbs" echo WScript.Sleep 1000 >> "%%B\%%A.vbs" echo oShell.Sendkeys "%safepassword%" >> "%%B\%%A.vbs" echo oShell.Sendkeys "{ENTER}" >> "%%B\%%A.vbs" echo Wscript.Quit >> "%%B\%%A.vbs" echo Set oWS = WScript.CreateObject^("WScript.Shell"^) > "%USERPROFILE%\Desktop\SafeLinks\%%A.lnk.vbs" echo sLinkFile = "%USERPROFILE%\Desktop\SafeLinks\%%A_saferun.LNK" >> "%USERPROFILE%\Desktop\SafeLinks\%%A.lnk.vbs" echo Set oLink = oWS.CreateShortcut^(sLinkFile^) >> "%USERPROFILE%\Desktop\SafeLinks\%%A.lnk.vbs" echo oLink.TargetPath = "%%B\%%A.vbs" >> "%USERPROFILE%\Desktop\SafeLinks\%%A.lnk.vbs" echo oLink.IconLocation = "%%B\%%A.exe,0" >> "%USERPROFILE%\Desktop\SafeLinks\%%A.lnk.vbs" echo oLink.WorkingDirectory = "%%B\" >> "%USERPROFILE%\Desktop\SafeLinks\%%A.lnk.vbs" echo oLink.Save >> "%USERPROFILE%\Desktop\SafeLinks\%%A.lnk.vbs" ) for /r %USERPROFILE%\Desktop\SafeLinks\ %%p in (*.vbs) do cscript %%p for /r %USERPROFILE%\Desktop\SafeLinks\ %%v in (*.vbs) do del %%v :: Open Explorer with links:: explorer %USERPROFILE%\Desktop\SafeLinks\ :: Create Uninstall:: echo @echo off > uninstall_%~n0.bat echo net user %safeusername% /del >> uninstall_%~n0.bat echo rd /s /q %USERPROFILE%\Downloads\Browser >> uninstall_%~n0.bat echo rd /s /q %USERPROFILE%\Desktop\SafeLinks >> uninstall_%~n0.bat echo rd /s /q C:\Users\%safeusername%\ >> uninstall_%~n0.bat echo For /f "tokens=1,2 delims=|" %%%%A in (Browserlist4saferun.txt) do del "%%%%B\%%%%A.vbs" >> uninstall_%~n0.bat echo del Browserlist4saferun.txt >> uninstall_%~n0.bat echo del %%0 >> uninstall_%~n0.bat :Exit
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

テスト中

さて、今度はそれがすべて野生でどのように機能するか試してみましょう：



1.アンチウイルスをオフにして、JAVAなどのダウングレードします（カップルはすぐに不安を感じました）。



2.リストからバッチファイルをコピーして貼り付けます。



3. saferun.batとして保存し、深呼吸してダブルクリックします。



4.コンソールが点滅し、エクスプローラーウィンドウが開きます。 ウィンドウをショートカットで見て、よく考えます。



5.任意のブラウザーを選択します。 YouTubeにアクセスし、すべてが機能すること、クリックすることなどを確認します。



6.次に、Googleにアクセスして「最も人気のあるRunetブラウザ」を探します（これは、ポルノブロッカーを無料でダウンロードする方法を示した妹です）。 いくつかのリンクをクリックすると、コンピューターが疑わしくポップし始めます。 ちょっと待ってます。 悪いことは何も起こらなかったようです。 Process Explorerを見ると、ブラウザがJAVA.exeを起動し、新しいユーザーを正常に継承していることがわかります。





7.ここで、新しいユーザーの一時ディレクトリに移動して、次の内容を確認します...





8.ファイル「____ 991.exe」に対する権限を確認します





9.作成されたユーザーの下でcmd.exeを切り離します。 パスワードは、たとえば、ブラウザのEXEの横にあるVBSスクリプトで確認できます





10.新しいコンソールでcd％temp％を作成し、「。\ ____ 991.exe」と書き込みます。 Enterを押してください！





11. URA-URA !!! これは勝利です。







12.詳細を気にする人

 C:\Users\saferun_user_31714\AppData\Local\Temp>d:\md5.exe ____991.ex ____991.ex : 04DA16B5447D8F2B4BD23AFD469FB153
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

このファイルが開始された場合、面白い写真と支払い端末での作業要求が表示されます。

結論の代わりに

バッチファイルは、管理者と単純なユーザーの両方からWindows 7を操作する際に、ドライブバイ攻撃やエクスプロイトからの保護に非常に役立ちます。 はい、彼は特権の増加に伴うペイロードの理論的な制限を持っていますが、そのような利点はめったに見られません。 バッチファイルを使用する場合の長所-非常に迅速に編集し、電子メールクライアント、オフィスプログラムなどの新しいプログラムのサポートを追加できます。 チューニング、柔軟性、クールネス、クールネスは非常に重要であり、LCではこれを非常によく理解しています。



著者のこの意識の流れを最後まで読んでくれてありがとう、そしてマイナスをクリックしたことはありません。 8）がんばって！



PS。 このバッチファイルは、LC製品の一部であるSafeBrowserとは関係ありません。

PPP。 バッチファイルは非常に便利なアンインストールを作成します-何かが突然間違った場合に備えて。

PPP。 いつものように、フレンドリーなユーザーk1kがコメントにたむろして、記事の著者を装います。 そうです。 よろしくお願いします！