AppLocker mit #squiblydoo COM Hijacking aushebeln?

Kann man mit einer als #squiblydoo bezeichneten Technik für COM Hijacking den in Windows 10 Enterprise eingebauten AppLocker-Schutz umgehen?


Anzeige

Ich kippe hier mal einige Info-Splitter in Sachen Windows-Sicherheit und AppLocker hier im Blog-Beitrag zusammen. Kürzlich bin ich auf diesen Tweet von @bohops gestoßen, der eine länger bekannte Möglichkeit zum Aufruf von COM-Funktionen mittels rundll32.exe und dem /sta-Parameter über ClassID-Codes thematisiert.

Ist etwas kryptisch, aber es geht wohl darum, dass eine Malware eine eigene COM-Klassen über die ClassID in der Registrierung eintragen könnte. Anschließend besteht die Möglichkeit, über rundll32.exe diese Klasse aufzurufen, die dann wiederum weitere Funktionen aktiviert. So wie ich es verstanden habe, ließe sich durch dieses COM-Hijacking der AppLocker-Schutz von Windows 10 zum Whitelisting von Apps umgehen.

Bisher ist zu diesem Szenario wohl noch wenig in Punkto Sicherheit veröffentlicht worden. Auf GitHub habe ich diesen Eintrag gefunden. Dort befasst sich jemand mit .sct-Skriptprogrammen, die eine Backdoor remote installieren können. Und in diesem GitHub-Beitrag gibt es eine Zusammenfassung älterer Sicherheitsmeldungen. Dort schreibt ein Twitter-Nutzer mit Namen subtee folgended:


Anzeige

Well.

So turns out regsvr32 will take an .sct file from a URL.

PowerShell Empire Fileless Stager:

Posted this a while back.

Hey #BlueTeam

We're breaking down the tradecraft used to pwn #HackingTeam on tomorrow's episode. Join us live at Noon ET! … #Infosec

This…

Though…If I catch you doing this. Executing against a repo you do not control…. Please. Its just a demo…

Guaranteed to learn a lot on this week's episode. Can't wait to discuss! … #DFIRhttps://twitter.com/TradecraftTues/status/722318895646904321 …

AppLocker Script Rule Bypass-

If you think only admins can call regsvr32… You are wrong.

Achievement Unlocked.

Proof Of Concept #PowerShell Server /

I updated gist with indicators.

I think each PowerShell Empire Stager needs a Logo.

[Blog Post]

Today's #BHISblog by @fullmetalcache – more fun bypassing #antivirus & #whitelisting using method dev by @subTeehttp://ow.ly/4mU6HI

Security ramblings of a disgruntled blue teamer ;)

Intrusions will likely leave many signs. Teach your analysts not to treat alerts as singular events, but how to look beyond an alert. #DFIR

.SCT Update

"Its not well documented that regsvr32.exe can accept a url for a script." (via … ). Understatement of the century.

My favorite shout out. Thanks Again Alex.https://twitter.com/aionescu/status/723266342829182976 …

@diodesign @subTee it's built-in remote code execution without admin rights and which bypasses Windows whitelisting. I'd say it's pretty bad

Ok all. Good night Twitter. LOL Feed is blowing up. IPA at the pub now. Talk to you all in the am. -Cheers :-)

@subTee's COM Scriptlet stager is now in the Empire dev branch:https://github.com/PowerShellEmpire/Empire/blob/dev/lib/stagers/launcher_sct.py …

[current status] Ice climber. I love the skull.pic.twitter.com/Kdbk9nJDVn

Just pushed the com_exec module to CME! Get all the shells using @subTee's COM scriptlet whitelist bypass!pic.twitter.com/FVEYlIP4Cq

User Exploitation at-Scale http://blog.cobaltstrike.com/2016/04/28/user-exploitation-at-scale … pic.twitter.com/68AzKuEyYh

Defend against @subTee's AppLocker Bypass technique using EMET's ASR … … #squiblydoo

COM Object hijacking: the discreet way of persistence

Ist alles sehr fragmentiert, aber wie ich es verstanden habe, für Angriffsszenarien – auch Remote in Netzwerk verwendbar. Dieser Artikel enthält noch einige Informationen zum Thema. Und hier gibt es einen Artikel zu einem ähnliche Problem. Ich habe es mal im Blog aufgenommen, um es im Fall des Falles als Referenz vorzuhalten. Vielleicht kann jemand von Euch was mit anfangen.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu AppLocker mit #squiblydoo COM Hijacking aushebeln?

  1. Stefan Kanthak sagt:

    RUNDLL32.exe /STA {…} ist nur der indirekte Aufruf einer DLL!
    1. damit REGSVR32.exe ein COM-Objekt über dessen CLSID aufrufen kann muss diese CLSID unter [HKEY_CLASSES_ROOT\CLSID\{…}] registriert sein;
    2. [HKEY_CLASSES_ROOT] entsteht aus der Überlagerung von [HKEY_LOCAL_MACHINE\SOFTWARE\Classes] mit [HKEY_CURRENT_USER\Software\Classes]
    3. unter letzterem hat der (unprivilegierte) Benutzer Vollzugriff und kann beliebige DLLs registrieren;
    4. richtig eingerichtet blockieren AppLocker und SAFER das Laden und Ausführen beliebiger DLLs … egal wer diese wie aufruft.
    5. ein von einem unprivilegierten Benutzer registriertes COM-Objekt kann NICHT von einem Administratorrechten laufendem Programm instanziiert werden: siehe https://msdn.microsoft.com/en-us/library/bb756926.aspx; dummerweise gibt's eine unrühmliche Ausnahme: das als .NET bekannte DrexZeux, siehe http://seclists.org/fulldisclosure/2017/Jul/11
    6. das angedeutete COM-Hijacking ist eigentlich ein "search path order hijacking": ein unter [HKEY_LOCAL_MACHINE\SOFTWARE\Classes] registriertes COM-Objekt, dessen DLL (in-process server) oder EXE (out-of-process server) nur mit dem einfachen Dateinamen statt dem vollqualifizierten Pfadnamen (ein BLUTIGER ANFÄNGERFEHLER) angegeben wurde, kann missbraucht werden, um die DLL/EXE über den PATH zu laden; hilft nur nicht Dank 4 … es sei denn, der Aufrufer des COM-Objektes hat Administratorrechte. Dann kann er die DLL/EXE aber auch so aufrufen.
    Also: AppLocker oder SAFER richtig konfigurieren und STRIKTE Benutzer/Privilegientrennung praktizieren (wozu auch das Deaktivieren der UAC in Standardbenutzerkonten gehört: "denn führe uns nicht in Versuchung…")

  2. Stefan Kanthak sagt:

    https://skanthak.homepage.t-online.de/sentinel.html enthält Links zu mehreren Batch-Skripts SLOPPY*.CMD, die nicht nur mit unqualifizierten Dateinamen registrierte COM-Objekte finden.

  3. Stefan Kanthak sagt:

    Apropos @bohops: der wärmt auch diesmal nur kalten Kaffee auf!
    https://insights.sei.cmu.edu/cert/2016/06/bypassing-application-whitelisting.html

    https://skanthak.homepage.t-online.de/SAFER.html ist ein kleines bisschen älter … aber nur 12 Jahre; die mit den Skripts *_SAFER.INF definierten Regeln blockieren selbstverständlich auch in ADS geschriebene Skripts, DLLs und Programme … in ALLEN Editionen von Windows ab XP, also auch Starter und Home.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.