IOprotect GmbH

Anwendung des Attack Chain Emulation Service von IOprotect

Auf der Suche nach initialen Angriffsvektoren, die weniger oft genutzt werden, kam die Idee von .reg Files auf. Damit sind nicht die simplen .reg Files gemeint, welche einen Registry-Eintrag erstellen, welcher wiederum ein ausführbares Programm aus dem Internet nachlädt. Vielmehr sollte der Payload direkt im .reg File enthalten sein. Eine kurze Suche führte uns zu einem öffentlichen Proof of Concept (PoC), bei welchem das .reg File ein ausführbares Programm enthielt. Ein vielversprechender Ansatz, aber durch die Verbreitung von Application Control Lösungen nicht mehr so erfolgsversprechend wie auch schon. IOprotects PoC sieht deshalb die folgenden Anpassungen vor:

Das .reg File wird dem Opfer via HTML Smuggling übermittelt (und umgeht damit die meisten Proxy Lösungen).
Wenn der Benutzer das .reg File durch einen Doppelklick "ausführt", wird als Beispiel ein RunOnce-Key mit einem PowerShell-Befehl erstellt.
Beim nächsten Login des Benutzers sucht der durch den RunOnce-Key getriggerte Powershell-Befehl nach dem .reg File, parst dieses und entpackt den Payload.
Anstelle eines ausführbaren Programms besteht der Payload aus einem .csproj File, welches mittels des standardmässig vorhandenen Tools msbuild.exe kompiliert und der Code direkt im Speicher ausgeführt wird. Das .csproj File implementiert ein simples Remote Administration Tool (RAT), welches dem Angreifer das Ausführen von beliebigem Code mit den Rechten des eingeloggten Benutzers ermöglicht.

Angriffsketten wie diese lassen sich mit IOprotects Attack Chain Emulation (ACE) Service einfach umsetzen. Möchten sie gerne selber testen, ob ihre Security Controls Angriffsketten wie diese stoppen oder zumindest detektieren? Kontaktieren sie uns für eine unverbindliche Demo von ACE.

Demo Video

Der beschriebene Ansatz wird im Folgenden auf einem vollständig gepatchten Windows 11 System aufgezeigt.

Video wird am Besten im Full-Screen Modus betrachtet. Nach dem Start Pfeile unten rechts klicken. Modus verlassen mit ESC.