In questo thread descriverò dettagliatamente come ho costruito un attacco di social engineering che non sfrutta direttamente un .exe, bensì 3 file + un'email di phishing che chiede di eseguire il dropper, spacciato per una password. Spacciare un dropper per una password e non per un exe?
File 1. Password.ps1 (Powershell dropper)
File 2. Protected_document.docx (.DOCX attualmente protetto da password)
File 3. Use_Password.bat (.batch file)
File 4. Email che chiede di aprire "Use-Password.bat" per visualizzare il .DOCX
Ricostruiamo l'attacco dal principio, cosa fa Password.ps1 ?
Non c'è nessuna password in questo file, "Password.ps1" è uno script in powershell che contiene un .exe codificato in una mastodontica stringa di base64. Lo script chiama una funzione che decodifica la stringa, ricostruisce l'exe, lo sposta in %TEMP%, e poi lo esegue.
Cosa c'è in "Protected_document.docx"?
Questo è un documento Word che è per davvero protetto da una password, ma la password non viene fornita al target. Il documento è innoquo.
Cosa fa "Use_password.bat"?
Questo file .batch DAPPRIMA contatta un server gestito dall'attaccante tramite Bitsadmin (perché Windows ha più familiarietà con questo metodo), da questo server viene scaricato il .DOCX senza la password ed eseguito, per far credere al target che "Password.ps1" conteneva veramente una chiave segreta che ha decrittografato il documento. Fatto questo, in un secondo momento, il file .batch esegue "Password.ps1". Tutto questo mentre il target legge tranquillamente una copia del documento decrittografato (scaricata dal server)
RICAPITOLANDO
Cliccando su "Use_password.bat" il target scaricherà inconsapevolmente una copia decrittografata di "Protected_document.docx", e dopo eseguirà "Password.ps1" un Powershell-script che decodificherà e scriverà in %TEMP% un malware, eseguendolo. Risultato:
PS. non intendo comunque condividere gli script per impedirne un uso improprio, non mi assumo per davvero responsabilità di quello che farebbero gli altri con questa roba. Il mio lavoro è inteso a scopo di ricerca personale, self-improvement delle mie conoscenze sul funzionamento dei linguaggi di scripting di Microsoft Windows, e in via ultimata: generare consapevolezza nelle persone tipicamente prese di mira da questo tipo di attacchi informatici, cosicché possano prendere i dovuti provvedimenti.
File 1. Password.ps1 (Powershell dropper)
File 2. Protected_document.docx (.DOCX attualmente protetto da password)
File 3. Use_Password.bat (.batch file)
File 4. Email che chiede di aprire "Use-Password.bat" per visualizzare il .DOCX
Ricostruiamo l'attacco dal principio, cosa fa Password.ps1 ?
Non c'è nessuna password in questo file, "Password.ps1" è uno script in powershell che contiene un .exe codificato in una mastodontica stringa di base64. Lo script chiama una funzione che decodifica la stringa, ricostruisce l'exe, lo sposta in %TEMP%, e poi lo esegue.
Cosa c'è in "Protected_document.docx"?
Questo è un documento Word che è per davvero protetto da una password, ma la password non viene fornita al target. Il documento è innoquo.
Cosa fa "Use_password.bat"?
Questo file .batch DAPPRIMA contatta un server gestito dall'attaccante tramite Bitsadmin (perché Windows ha più familiarietà con questo metodo), da questo server viene scaricato il .DOCX senza la password ed eseguito, per far credere al target che "Password.ps1" conteneva veramente una chiave segreta che ha decrittografato il documento. Fatto questo, in un secondo momento, il file .batch esegue "Password.ps1". Tutto questo mentre il target legge tranquillamente una copia del documento decrittografato (scaricata dal server)
RICAPITOLANDO
Cliccando su "Use_password.bat" il target scaricherà inconsapevolmente una copia decrittografata di "Protected_document.docx", e dopo eseguirà "Password.ps1" un Powershell-script che decodificherà e scriverà in %TEMP% un malware, eseguendolo. Risultato:
PS. non intendo comunque condividere gli script per impedirne un uso improprio, non mi assumo per davvero responsabilità di quello che farebbero gli altri con questa roba. Il mio lavoro è inteso a scopo di ricerca personale, self-improvement delle mie conoscenze sul funzionamento dei linguaggi di scripting di Microsoft Windows, e in via ultimata: generare consapevolezza nelle persone tipicamente prese di mira da questo tipo di attacchi informatici, cosicché possano prendere i dovuti provvedimenti.