Защо се свързва с интернет

За надеждна защитна стена notepad.exe, свързващ се с интернет, е ключов индикатор за компрометирана система. В тази статия ще обсъдя защо рамките инжектират код в процеса notepad.exe и как можете да го избегнете по време на атака.

За надеждна защитна стена notepad.exe, свързващ се с интернет, е ключов индикатор за компрометирана система. В тази статия ще разкажа защо рамките инжектират код в процеса notepad.exe и как можете да избегнете това по време на атака.

защо

Да приемем, че изпращам на жертвата имейл на Microsoft Word със злонамерен макрос. Когато макросът се изпълни, моят код ще се изпълни в паметта на целевата система. В тази ситуация кодът ми работи в Microsoft Word. Какво се случва, ако потребителят затвори Microsoft Word или програмата е принудително затворена по време на неочаквана грешка? Моят макрос ще излезе и няма да получа никакви полезни резултати.

В такива случаи може да е полезно да преместя изпълнението на моя код в друг процес ... в идеалния случай автоматично. Тогава, ако програмата, която използвам, се срине или излезе от потребителя, аз пак ще остана в целевата система.

Cobalt Strike и Metasploit Framework използват notepad.exe по подразбиране за създаване и инжектиране на код. Notepad.exe е добър кандидат за тази роля, тъй като неговата 32-битова версия присъства в системи x86 и x64. Освен това местоположението на този файл е винаги еднакво и в двете системи. Друг ключов критерий в полза на notepad.exe е, че мога да възпроизведа процеса notepad.exe без никакви пречки и той няма да излезе веднага.

Ако провеждате практически тест и екипът по сигурността се е отървал от файла notepad.exe (малко мръсен трик, но все пак), може да имате проблеми. Ако екипът по сигурността е прекратил процеса notepad.exe, може да имате проблеми. Освен това, ако вашата организация използва Ambush IPS и има правило за откриване на процес notepad.exe, който използва Winsock или WinINet, може да имате проблеми.

За да заобиколите всички горепосочени случаи, трябва да знаете как да адаптирате помощните програми за използване на файлове, различни от notepad.exe. Ето няколко съвета:

Cobalt Strike предоставя възможност за настройка на статични слушатели. Ако създадете слушател на Meterpreter и поставите отметка в квадратчето Автоматично мигриране на сесията, вие някак казвате на Cobalt Strike, че искате да преместите Meterpreter в нов процес след създаване на нова сесия. Това действие кара Cobalt Strike да зададе опцията Metasploit Framework InitialAutoRunScript migrate -f при създаване на нов манипулатор.