Hakowanie Windows 10 narzędziem Microsoft Teams: nieszablonowe użycie procesu update.exe

15 lipca, 2019

W piątek opisywaliśmy ciekawy atak z wykorzystaniem oprogramowania od Microsoftu: teoretycznie zaufanego, bezpiecznego, posiadającego cyfrową sygnaturę giganta z Redmond. Stosowanie przez cyberprzestępców natywnych procesów Windows bądź aplikacji od Microsoftu, jest zwykle nieudokumentowanym, dobrym sposobem na pobranie złośliwej zawartości do systemu. Dzięki temu niektóre rozwiązania bezpieczeństwa mogą zostać „oszukane”, ponieważ nie monitorują pobieranych zasobów przez zaufany proces.

Microsoft Teams to wielozadaniowe narzędzie, które jest dostępne w pakietach już dla małych firm. Jest podobne do komunikatora Slack, ale potrafi integrować się z usługami Microsoftu. Jest też wymagane na komputerze ofiary, aby napastnik mógł niepostrzeżenie pobrać złośliwą zawartość (pod pewnymi warunkami):

  • W Windows musi być zainstalowany klient Microsoft Teams. Do ataku można użyć tych aplikacji:
%localappdata%/Microsoft/Teams/update.exe

%localappdata%/Microsoft/Teams/current/squirrel.exe
  • Trzeba przygotować exploit np. w Metasploicie i umieścić go najlepiej na zhakowanym serwerze WWW.
  • W systemie ofiary trzeba uruchomić update.exe z odpowiednim parametrem.
  • Złośliwe oprogramowanie zostanie automatycznie pobrane i uruchomione (nie trzeba podnosić uprawnień).
  • System nie może być zabezpieczony oprogramowaniem skanującym ruch sieciowy i/lub wykrywającym proste połączenia zwrotne tzw. reverse http/https.

I w zasadzie to tyle. Atak w praktyce zaprezentowano na poniższym wideo:

Nie ma tutaj nic, co mogłoby zaskoczyć doświadczonego badacza. Wielokrotnie możemy rozpoznać wektor  ataku. Nowoczesne rozwiązania antywirusowe wyposażone w EDR-y bez problemu radzą sobie z wykryciem dostarczenia złośliwego kodu na wielu płaszczyznach. Dodatkowo ustanawiane tak zwane odwrotne połączenie z hosta do systemu kontrolowanego przez przestępcę, jest z łatwością wykrywane przez większość oprogramowania antywirusowego. Niemniej atak można przeprowadzić inaczej — przygotować dostarczenie wirusa do systemu bardziej finezyjnymi sposobami.

Zaprezentowany sposób jest niebezpieczny z jeszcze jednego powodu: hakerzy, którzy już mają dostęp do sieci ofiary, mogą podszywać się pod procesy firmy Microsoft, czyniąc swoje ataki trudniejszymi do wykrycia.

Zalecamy użytkownikom korzystanie z oprogramowania antywirusowego wyposażonego w skanowanie ruchu sieciowego niezależnie od protokołu albo portu. Firmy, które posiadają takie rozwiązania, to: Avast, Bitdefender, G DATA, Kaspersky, Symantec, Quick Heal, Comodo, Eset, F-Secure.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 5 / 5. Liczba głosów: 1

guest
4 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]