关键词
Notepad++、StrongPity、规避、持久化
关键点:
-
插件的流行导致攻击面增加:Notepad++ 是一种非常流行的工具,几乎可以安装在所有与 IT 相关的环境中。 -
Notepad++已经被攻击者滥用: APT组织,如StrongPity,已被观察到利用 Notepad++ 在受害者的计算机上部署后门。 -
高级插件功能:Notepad++ 具有高级插件机制,威胁参与者可以利用该机制进行持久化和安全规避。 -
Notepad++ 中没有校验过程:没有观察到本地安装插件的校验过程,允许具有本地管理员权限的威胁参与者在加载过程中注入他们自己的恶意DLL。
使用开源项目Notepad++ Plugin Pack,一位名叫RastaMouse的安全研究人员演示了如何构建一个可用作持久性机制的恶意插件。插件包是 Visual Studio 的 .NET 包,它提供了构建插件的基本模板:
图1:notepad++插件包模板
威胁参与者可以使用这种技术绕过安全机制并在受害者机器上实现持久性。
众所周知,APT 组织StrongPity利用带有恶意可执行文件的合法 Notepad++安装程序,允许它在机器重新启动后持续存在。该后门可以让威胁行为者在机器上安装键盘记录器,并与 C2 服务器通信以发送该软件的输出。
StrongPity APT 组织(也称为 APT-C-41 和 PROMETHIUM),于 2012 年首次被披露,并采用与上述相同的策略,即为特定用户使用的合法软件添加后门。
Cybereason GSOC分析人员分析了 Notepad++ 插件加载机制,并基于此构建了一个攻击场景。
当在 Notepad++ 中按下某键时,可以滥用SCI_ADDTEXT API 来触发自定义 Notepad++ 命令。使用C#,创建一个 DLL,它将在 Notepad++ 内按下任意键时首先运行 PowerShell 命令。
* 注意 - Meterpreter shell 将继承启动 Notepad++ 的用户的权限。如果受害者以管理员身份打开应用程序(例如,他们正在更改Host文件),那么这里的 shell 将拥有相同的权限。
图6:(攻击者角度)来自 Meterpreter 会话的shell命令
图7:(攻击者角度)普通用户权限下提权尝试失败
图8:(攻击者角度)成功升级到SYSTEM
图9:(防御者角度)Cybereason 防御平台中的进程树 –加载的模块创建了 PowerShell.exe 的子进程
图10:(防御者角度)按名称搜索加载的恶意模块
没有观察到其他有用的文件元数据或指标可以帮助检测这种攻击。
图11:编译时间戳
图12:64 位架构
图13:用 C# 编写的 Microsoft .NET 可执行文件
代码中包含的元数据允许分析人员使用DNSpy反编译这个可执行文件。分析人员能够将二进制文件几乎完全反编译回源代码,从而使分析人员能够提取入侵指标 (IOC),例如 Base64 编码的PowerShell 命令中的命令和控制 (C2) IP 地址:
图14:反编译的源代码
图15:在Cyberchef中解码 Base64 后的 PowerShell 命令
-
启用反恶意软件功能。 -
为您的组织机构识别合法的 Notepad++ 插件,以便能够将它们从检测中排除。 -
监控在%PROGRAMFILES%Notepad++ plugins目录中创建的任何偏离您接受的基线的新文件。 -
监控Notepad++异常子进程,特别注意shell类型的进程。
| 可执行文件 |
Npp_Persistence_Plugin.dll - SHA256: 90BC7FA90705148D8FFEEF9C3D55F349611905D3F7A4AD17B956CD7EE7A208AF |
编辑|崔孟娇
审校|何双泽、金矢
本文为CNTIC编译整理,不代表本公众号观点,转载请保留出处与链接。联系信息进入公众号后点击“关于我们”可见。
原文始发于微信公众号(国家网络威胁情报共享开放平台):滥用Notepad++插件实现规避和持久化
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论