Malicious Alternate Data Streams In Windows

ខាងក្រោមជាវិធីសាស្ត្រក្នុងការលាក់ ផេឡូតនៅក្នុងឯកសារផ្សេងៗ។ ចំពោះកាបង្ហាញខាងក្រោមខ្ញុំនឹងសាកល្បងលាក់នៅក្នុងឯកសាររូបភាព (jpg, png, gif, etc.) ។

Hide Payload Inside Image File

នៅក្នុងវីនដូសូមវាយពាក្យបញ្ជាដូចខាងក្រោម៖

1

type payload.exe > imagefile.png:payload.exe

ក្រោយពីលាក់រួចយើងអាចពិនិត្យមើល ADS បានដោយប្រើពាក្យបញ្ជា dir /r ។

សូមធ្វើការលុបឯកសាមេរោគដើមចេញ ជៀសវៀងពីការរកឃើញ៖

1

del payload.exe

ដើម្បីដំណើរការ payload យើងអាចប្រើពាក្យបញ្ជាដូចខាងក្រោម៖

1

wmic.exe process call create "C:\ProgramData\imagefile.png:payload.exe"

រួចរាល់ ។

Hide Payload Through Certutil

ជាគោលគំនិតក្នុងការលាក់ Payload ក្នុង ADS ដោយប្រើប្រាស់ Certutil ។

Generate ADS

ខាងក្រោមជាដំណើរការក្នុងការលាក់ Payload Strings នៅក្នុង ADS ដោយប្រើប្រាស់ពាក្យបញ្ជាដែលមានស្រាប់ក្នុង Powershell ។

បើកផ្ទាំង CMD រួចវាយពាក្យបញ្ជាខាងក្រោម៖

1

echo payload > hello.txt:payload.bin

ពាក្យ payload នឹងរក្សាទុកនៅក្នុង ADS ដែលមានឈ្មោះថា payload.bin ។ ដើម្បីកែប្រែវាវិញយើងអាចប្រើប្រាស់កម្មវិធី Notepad ដើម្បីបើកមើលនិងកែប្រែវាបាន ដោយវាយពាក្យបញ្ជាដូចខាងក្រោម៖

1

notepad hello.txt:payload.bin

Generate ADS

Certutil

បង្កើត Payload ដោយប្រើប្រាស់ Metasploit / Cobalt Strike / DCRat ។ល។ បន្ទាប់មកធ្វើវាឲ្យទៅជា Cert File ដោយវាយពាក្យបញ្ជានៅក្នុង Powershell ដូចខាងក្រោម៖

1

certutil -encode ./payload.exe payload.txt

Encode Certutil Payload

បន្ទាប់មកចម្លងនិងរក្សាទុកនូវចំនួនអក្សរដែលមានក្នុងឯកសារ payload.txt ទាំងអស់ចូលទៅក្នុងឯកសារ payload.bin ដែលបានបើកឡើងក្នុងដំណាក់កាលទី ១ ។

Decode Certutil Payload

PWN The Payload

ដើម្បីត្រលប់ឯកសារមេរោគដែលលាក់នៅក្នុងឯកសារ ADS(payload.bin) យើងអាចប្រើប្រាស់ពាក្យបញ្ជានៅក្នុង Powershell ដូចខាងក្រោម៖

1

certutil -decode hello.txt:payload.bin payload.exe

រួចរាល់ពេលនេះយើងអាចត្រលប់ឯកសារមេរោគនោះនិងអាចដំណើរការវាបានដូចធម្មតា ៕

PWN

លំអិតអំពី៖ ADS
ឯកសារទាក់ទង៖ Malwarebytes, Netwrix, Minitool