El viaje gemelo, parte 2: gemelos malvados en un caso en tierra practical


En el primero de esta serie de weblogs de 3 partes, cubrimos las implicaciones de promover archivos a «Evil Twins» donde se pueden crear y permanecer en el sistema como entidades diferentes una vez que se habilita la distinción entre mayúsculas y minúsculas.

En este 2Dakota del Norte Después de esto, intentamos abusar de las aplicaciones que no funcionan bien con los cambios de CS, abusando de los supuestos de «normalización».

Vale la pena señalar que el impacto de este cambio variará dependiendo de la carpeta de destino.

Fuera de la caja, Home windows proporciona una herramienta para cambiar la información de CS invocando la API subyacente NtSetFileInformation con banderas FILE_Case_Delicate_Info.

Esta herramienta contiene varias comprobaciones a nivel de modo de usuario para restringir la carpeta de destino, pero, como de costumbre, se puede omitir fácilmente utilizando diferentes combinaciones de ruta. Es posible crear una herramienta o invocar la API de PowerShell para eliminar estas comprobaciones.

Repasemos los siguientes escenarios:

  • Cambio de la unidad ROOT CS:
    1. Se omitirán las restricciones de fsutil y la mayoría de la consola no funcionará a menos que especifique rutas completas (principalmente debido a las variables de entorno rotas en mayúsculas y minúsculas).

  • Las combinaciones para evitar esta verificación incluyen:
    • ? C: (por letra de unidad con ruta larga)
    • . BootPartition (por partición)
    • ? Volumen 3fb4edf7-edf1-4083-84f8-7fbca215bfee (id de volumen)
  • Cambiar «carpetas protegidas» CS.
    1. Para algunas carpetas no es suficiente ser Administrador, sino tener otro tipo de ACL.
    2. TrustedInstaller tiene los permisos necesarios para hacerlo y … solo necesita permisos de administrador para cambiar la ruta del servicio:

Si cambia la distinción entre mayúsculas y minúsculas de la carpeta de Home windows utilizando la misma técnica, Home windows ya no se iniciará.

Estos escenarios introducen nuevos comportamientos inesperados en las aplicaciones actuales, como por ejemplo:

  • Hay una carpeta con CS habilitado y dos directorios con el mismo nombre, caso diferente.
  • Intentar cambiar CS fallará debido a la verificación «múltiples archivos / carpetas con el mismo nombre ya existe».
  • Muévase a la papelera de reciclaje en una de las carpetas.
  • Cambiar CS de la carpeta.
  • Restaurar el archivo eliminado.
  • El contenido del archivo eliminado sobrescribe el que se guardó originalmente.

Capturas de pantalla

Izquierda: unidad raíz con mayúsculas y minúsculas habilitada.

Derecha: Los archivos de programa CS cambiaron gracias a Trustworthy Installer ACL. Si una aplicación no está considerando el caso adecuado, la próxima vez que intente ejecutar un archivo binario cuyo nombre se pueda normalizar (en mayúsculas) puede generar una aplicación diferente.

Vea el online video grabado por nuestro experto Cedric Cochin que ilustra esta técnica:

(incrustar) https://www.youtube.com/check out?v=Xy_VSCxZRTc (/ incrustar)

Protección y detección con productos McAfee

  • Productos que dependen SysCore protegerá C: de cambios sensibles a mayúsculas y minúsculas
  • Reglas de expertos de Endpoint Stability
  • Respuesta activa:
    • Cree un recopilador personalizado para consultar las mayúsculas y minúsculas de las carpetas importantes.
    • Busque ejecuciones de fsutil (o incluso procesos de historial si ese recopilador es parte de su versión de Lively Response)
      • «Procesos donde el nombre del proceso es igual a fsutil.exe»
    • MVISION EDR:
      • Búsqueda en tiempo genuine
        • «Procesos donde el nombre del proceso es igual a fsutil.exe»
      • Busque la ejecución de fsutil en la vista histórica

Artefactos involucrados:

  • NT atributos cambian
  • Ejecución fsutil
  • Cambios en el servicio del instalador de confianza

Los resultados de esta técnica incluyen:

  • Un ransomware podría crear C: Home windows Program32 y provocar un BSOD en el próximo reinicio
  • Cambiar dll que se está cargando o un evento detiene el inicio de la aplicación





Enlace a la noticia authentic