Malware And Hunting For Persistence: How Adversaries Exploit Your Windows? - Cocomelonc

Cooper

22 Oct 202423:28

Summary

TLDRDans cette présentation, l'orateur explore diverses techniques de persistance malveillantes à travers l'analyse des registres Windows, de la cryptographie interne et des applications comme Microsoft Teams. Il met en lumière des méthodes peu conventionnelles de maintien de persistance, notamment l'exploitation d'Internet Explorer, de l'API Windows Cryptography et de Process Hacker. L'orateur partage également ses recherches sur des vulnérabilités dans des outils populaires et propose des solutions de contournement pour les analystes de sécurité. Ce discours constitue une exploration approfondie des techniques d'intrusion utilisées par les cybercriminels et les chercheurs en cybersécurité.

Takeaways

😀 La persistance est un élément crucial pour les attaquants et les groupes malveillants, car elle leur permet de maintenir un contrôle continu sur un système après un redémarrage ou une analyse médico-légale.
😀 Les techniques classiques de persistance, telles que l'injection de DLL et l'abus de fonctionnalités d'accessibilité, sont couramment utilisées par les cybercriminels, mais elles sont facilement détectées par les outils de sécurité modernes.
😀 L'une des techniques de persistance avancées implique l'exploitation des registres Windows et des applications telles qu'Internet Explorer et Microsoft Edge, même si ces applications ne sont plus couramment utilisées.
😀 Le rapport d'erreur Windows (Windows Error Reporting) peut être abusé pour créer des mécanismes de persistance en remplaçant des DLL dans le registre.
😀 La cryptographie de Windows, en particulier les fonctions internes du Windows Crypto API, offre des opportunités intéressantes pour la persistance en manipulant les clés et les valeurs du registre.
😀 Les red teamers et les développeurs de malware peuvent utiliser les fonctionnalités cryptographiques internes de Windows pour contourner la sécurité et abuser des API cryptographiques à des fins malveillantes.
😀 Les applications comme Microsoft Teams et le processus 'wefold' dans Windows Error Reporting peuvent également être exploitées pour maintenir une persistance sur les systèmes Windows.
😀 L'abus de la fonction 'Process Hacker' permet aux attaquants de manipuler et de contrôler les processus système, avec la possibilité d'exécuter des actions plus sophistiquées comme l'arrêt de Windows Defender.
😀 Process Hacker, malgré les mises à jour et les corrections de sécurité, reste vulnérable à l'exploitation en raison de sa structure et de certaines fonctions non sécurisées dans les versions anciennes.
😀 Le développement de nouveaux outils ou l'exploitation de projets open-source comme ceux trouvés sur GitHub peut aider à identifier des techniques de persistance inédites pour les red teamers et les chercheurs en sécurité.

Q & A

Qui est l'orateur et quel est son domaine d'expertise ?
-L'orateur est un expert en développement de malware et en recherche sur les techniques de persistance. Il est auteur de plusieurs livres sur le développement de malware et les simulations d'adversaires.
Quels sont les principaux sujets abordés dans la présentation ?
-La présentation couvre trois sujets principaux : les techniques classiques de persistance utilisées par les malwares, l'abus des internals et de la cryptographie Windows pour la persistance, et l'exploitation de Process Hacker pour des opérations de malware et de sécurité.
Quelles sont les techniques classiques de persistance mentionnées ?
-Les techniques classiques incluent le détournement de DLL, l'abus des fonctionnalités d'accessibilité, les flux alternatifs de données, les services Windows et les helpers de connexion Windows. Ces techniques sont utilisées par des groupes APT comme AP29, AP39 et APT41.
Comment la cryptographie Windows peut-elle être exploitée pour la persistance ?
-Certaines fonctions cryptographiques internes de Windows utilisent des valeurs de registre en arrière-plan, qui peuvent être remplacées ou manipulées pour créer des mécanismes de persistance invisibles aux solutions antivirus.
Quels cas spécifiques d'applications Windows sont mentionnés pour la persistance ?
-Les cas incluent Internet Explorer et Microsoft Edge, Microsoft Teams et le Windows Error Reporting. Ces applications peuvent être exploitées pour la persistance sans provoquer de crash du système.
Quelles vulnérabilités spécifiques de Process Hacker sont abordées ?
-Process Hacker 2 présente des vulnérabilités de détournement de DLL via la fonction 'pH load Library', permettant de manipuler des processus et des fonctionnalités Windows, comme désactiver ou abuser de Windows Defender.
Quels défis ont été rencontrés lors de l'exploitation de Process Hacker ?
-Les défis incluent des conventions d'appel incohérentes, des plantages sur certaines architectures (x64), et la complexité de la structure interne, incluant la réimplémentation de fonctions cryptographiques et de structures de données.
Comment les techniques découvertes peuvent-elles être utilisées en simulation d'adversaire ?
-Ces techniques permettent aux équipes de red team et aux chercheurs en cybersécurité de simuler des attaques sophistiquées, de tester la résilience des systèmes et de développer des contre-mesures efficaces.
Quels conseils l'orateur donne-t-il pour découvrir de nouvelles techniques de persistance ?
-L'orateur recommande d'explorer les projets open source sur GitHub ou GitLab, de plonger dans les internals de Windows, et de rechercher des DLL ou fonctionnalités peu étudiées pour découvrir de nouvelles techniques de persistance.
Quel est l'objectif principal de la présentation de l'orateur ?
-L'objectif est de partager des connaissances et des expériences sur la persistance de malware, en offrant des méthodes pratiques pour la recherche, le développement de malware et la simulation d'adversaires, tout en contribuant à la communauté de cybersécurité.
Pourquoi certaines techniques classiques restent-elles pertinentes malgré les avancées en sécurité ?
-Parce que même si elles sont bien connues et détectables par des outils modernes, elles restent faciles à implémenter et peuvent encore être utilisées pour découvrir des angles d'attaque ou combiner avec des techniques plus sophistiquées.