یکی از تکنیکهای نسبتا قدیمی جهت اجرای کد یا همان Code Execution تکنیک Squiblydoo میباشد که به واسطه این تکنیک ما توانایی این را داریم که به پیاده سازی حمله Code Execution بپردازیم و اسکریپت ها و کد های مخرب خودمان را از طریق این اجراسازی کنیم.
توجه کنید تکنیک Squiblydoo با عنوان های دیگری هم شناخته میشود از جمله Regsvr32 Code Execution و دراصل نکته این نام دوم هم این است که این تکنیک به واسطه ابزار Regsvr32 میتواند برای ما به واسطه DLL های روی سیستم یک فایل مخرب ( که Payload ما میباشد ) را از روی یک بستر وب دریافت کند و آن را اجرا سازی کند.
این تکنیک در گذشته توسط گروه های متعددی مورد استفاده قرار میگرفته از جمله گروه های APT و هدف اکثر این گروها هم اجرای اسکریپت های مخرب، اجرای فایل های DLL مخرب و اجرای کد بوده است که این فرآيند به دلیل اعتماد سیستم به Regsvr32 سبب این میشده است که تجهیزات امنیتی سیستم به این نرم افزار گیر ندهند و درهنگام اجرای کد مخرب اون رو نادیده بگیرند.
برای پیاده سازی این حمله در ابتدا احتیاج داریم یک فایل مخرب جهت اجرا آن به واسطه Regsvr32 ایجاد کنیم و این فایل مخرب ما در قالب فایل فرمت SCT قرار میگیرد و موجب اجرای ماشین حساب ویندوز میشود که با عنوان Calc.exe فایل اجرا است.
کد مربوط به فایل SCT جهت اجرا به واسطه Regsvr32:
<?XML version="1.0"?>
<scriptlet>
<registration
progid="TESTING"
classid="{A1112221-0000-0000-3000-000DA00DABFC}" >
<script language="JScript">
<![CDATA[
var foo = new ActiveXObject("WScript.Shell").Run("calc.exe");
]]>
</script>
</registration>
</scriptlet>
پس از ایجاد شدن فایلمان به سراغ راه اندازی یک وب سرور میرویم و اینکار را از طریق بستر Python انجام میدهیم اما شما میتوانید از هر وب سرور دیگری ( چه به صورت Public بر روی اینترنت چه به صورت Private در شبکه خصوصی و سازمانی ) استفاده کنید.
دستور زیر را در پوشه ای که فایل مخرب SCT ما قرار دارد اجرا سازی میکنیم تا بتوانیم از طریق وب این فایل را دریافت کنیم:
حالا برای اطمینان از این موضوع به localhost خودمان با پورتی که در دستور بالا تعیین کردیم (8080) میرویم و اگر فایل های فولدر برایمان بالا آمد مشکل وجود ندارد. (مانند تصویر زیر)
حالا میرویم سراغ اجرا سازی و پیاده سازی این حمله، برای اینکار باید حتما Windows Defender را خاموش کنید و Cmd را Run As Administrator اجرا سازی کنید چون که همونطور که در ابتدا مقاله گفتیم این تکنیک نسبتا قدیمی است و اقدامات امنیتی جهت جلوگیری از آن به واسطه تجهیزات امنیتی صورت گرفته است.
بعد از انجام موارد بالا دستور زیر را اجرا سازی میکنیم و میبینیم که Calc.exe برای ما اجرا سازی میشود:
اگر بخواهیم بر روی Process های سیستم رصد داشته باشیم متوجه میشویم که پس اجرا سازی شدن یک Sub Processo برای Regsvr32 سریعا آن بسته میشود و دیگر Sub Process را نمیبینیم اما بستر Calc.exe برای ما باز میباشد.
مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو
متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider میباشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود