01.png

几周前,Microsoft Security Intelligence发现有个攻击者论坛正在讨论如何利用恶意ISO文件进行各种恶意软件活动。根据分析,恶意软件活动也开始使用ISO文件,例如Phobos勒索软件,ZLoader,LokiBot和Nanocore。其实这些攻击已经没有什么新鲜的了,因为恶意ISO文件的使用已有相当长的一段时间了。但是,据我所知,还没有任何研究者发现过任何示例代码。

准确地演示如何成功地将ISO文件武器化,而不是使用相当旧的关于ISO感染的SPTH文件。其实这也不奇怪,因为Windows操作系统直到2009年10月22日才对虚拟化本身提供支持。

如果你想研究如何以编程方式安装ISO映像,你将会非常失望。因为这个StackOverflow答案中显示的代码是错误的。函数调用是准确的,但是,它使最终需要完成的操作过于复杂。无论如何,我写这篇文章不是为了bash StackOverflow问题和答案,关键在于该代码。

目前网上关于如何安装ISO或VHD映像的方法都存在一定的误导性,因此我希望找到这个问题的真正答案。

本文将说明如何正确安装要用于恶意目的的ISO文件,我们的目标是在不建立用户可见路径或分配驱动器号的情况下安装ISO。本文还将简要回顾一下ISO与VHD/VHDX。

需要注意的是,本文将不会介绍如何以编程方式生成ISO / VHD映像。其实可以使用WINAPI以编程方式执行此操作,但这不是我的目标,我想研究的更深入一点。此外,本文不会针对不同的杀毒软件厂商对该技术进行基准测试,这仅仅是一个概念验证。

与本文相关的代码使用的是C WINAPI,如果你不熟悉C或WINAPI,则可能难以理解。另外,我选择C是因为我不喜欢C#.NET或Python来开发恶意软件。

ISO文件,VHD文件和虚拟存储API

ISO文件和VHD文件有什么区别?答案是一个ISO文件反映光盘驱动器的数字副本,例如CD / DVD,而VHD是实际的虚拟硬盘驱动器。两者都可以由Windows操作系统虚拟化和安装,都利用相似的API调用,都必须通过Windows虚拟存储API中的相同API转发。如Will Dormann在卡耐基梅隆大学(Carnegie Mellon University)的论文“VHD和VHDX文件的危险”中指出的那样,ISO文件在恶意软件活动方面处于更大的劣势。他证明了许多杀毒软件可能无法以编程方式安装VHD / VHDX文件,尽管看上去它们能够在某种程度上解析ISO映像,但是本文并不打算深入研究这个话题。

为什么使用ISO文件而不是VHD/VHDX?本文旨在专门解决攻击者使用的方法。与VHD/ VHDX文件相比,隐藏ISO映像也容易得多, VHD文件的最小大小为2MB。

1.png

尽管2MB大小的Windows报告是一个误导,指定2MB将返回ERROR_INVALID_PARAMETER或以下映像:

2.png

指定3MB结果如下:

3.png

我能够分配的最小VHD文件是5MB GUID分区表(GPT)。

4.png

相反,如果我们使用一些通用的ISO制作器,在这个特殊的情况下,我使用MagicISO制作器,可以制作出一个更小的文件:

5.png

关于隐身性及其与小型文件的相关性,与VHD文件相比,ISO文件具有很多优势。

你可能想知道ISO文件和VHD文件有什么共同点,因为本文着重于ISO文件安装。ISO文件以及VHD/VHDX文件都使用相同的虚拟存储API。此外,乍一看,在虚拟存储API文档中甚至没有提到ISO文件,直到你开始阅读通过AttachVirtualDisk安装虚拟磁盘映像时,才会看到以下内容:附加虚拟硬盘(VHD)或CD或DVD。

映像文件(ISO),方法是找到合适的VHD提供程序以完成附件,此时你就可以了解ISO文件和VHD可以在其API省略中互换使用。

OpenVirtualDisk的调用定义如下:

6.png

第一个参数VirtualStorageType,必须是指向VIRTUAL_STORAGE_TYPE结构的有效指针,该结构定义为:

7.png

成员DeviceId必须设置为VIRTUAL_STORAGE_TYPE_DEVICE_ISO。另外,VendorId必须设置为VIRTUAL_STORAGE_TYPE_VENDOR_MICROSOFT。

如果成功完成此操作,那么其他所有内容实际上都将与VHD/VHDX文件相同。

代码

我的概念验证包含很多通用编程,例如验证我们是否在Windows 10上运行,获取放置ISO文件的位置以及确保我们拥有适当的权限。以下是代码的功能概述:

1.获取PEB,确保我们的代码在Windows 10上运行。

8.png

2.使用USERPROFILE变量调用GetEnvironmentVariable以获取当前用户。

3.如果成功调用了GetEnvironmentVariable,则连接“\\Desktop\\Demo.iso”。

9.png

4.检查我们的安全令牌,如果我们没有SeManageVolumePrivilege,请提出以下请求。

10.png

5.使用正确初始化的VIRTUAL_STORAGE_TYPE结构调用OpenVirtualDisk。

11.png

6.调用AttachVirtualDisk,将ATTACH_VIRTUAL_DISK_FLAG设置为ATTACH_VIRTUAL_DISK_FLAG_READ_ONLY和ATTACH_VIRTUAL_DISK_FLAG_NO_DRIVE_LETTER。

12.png

7. GetVirtualDiskPhysicalPath会检索到我们已安装的ISO的物理路径。

8.如果成功调用了GetVirtualDiskPhysicalPath,请连接“\\Demo.exe”。

13.png

9.调用CreateProcess。

10.确保成功或失败后,所有句柄和堆都要关闭,然后退出。

14.png

01.png

几周前,Microsoft Security Intelligence发现有个攻击者论坛正在讨论如何利用恶意ISO文件进行各种恶意软件活动。根据分析,恶意软件活动也开始使用ISO文件,例如Phobos勒索软件,ZLoader,LokiBot和Nanocore。其实这些攻击已经没有什么新鲜的了,因为恶意ISO文件的使用已有相当长的一段时间了。但是,据我所知,还没有任何研究者发现过任何示例代码。

准确地演示如何成功地将ISO文件武器化,而不是使用相当旧的关于ISO感染的SPTH文件。其实这也不奇怪,因为Windows操作系统直到2009年10月22日才对虚拟化本身提供支持。

如果你想研究如何以编程方式安装ISO映像,你将会非常失望。因为这个StackOverflow答案中显示的代码是错误的。函数调用是准确的,但是,它使最终需要完成的操作过于复杂。无论如何,我写这篇文章不是为了bash StackOverflow问题和答案,关键在于该代码。

目前网上关于如何安装ISO或VHD映像的方法都存在一定的误导性,因此我希望找到这个问题的真正答案。

本文将说明如何正确安装要用于恶意目的的ISO文件,我们的目标是在不建立用户可见路径或分配驱动器号的情况下安装ISO。本文还将简要回顾一下ISO与VHD/VHDX。

需要注意的是,本文将不会介绍如何以编程方式生成ISO / VHD映像。其实可以使用WINAPI以编程方式执行此操作,但这不是我的目标,我想研究的更深入一点。此外,本文不会针对不同的杀毒软件厂商对该技术进行基准测试,这仅仅是一个概念验证。

与本文相关的代码使用的是C WINAPI,如果你不熟悉C或WINAPI,则可能难以理解。另外,我选择C是因为我不喜欢C#.NET或Python来开发恶意软件。

ISO文件,VHD文件和虚拟存储API

ISO文件和VHD文件有什么区别?答案是一个ISO文件反映光盘驱动器的数字副本,例如CD / DVD,而VHD是实际的虚拟硬盘驱动器。两者都可以由Windows操作系统虚拟化和安装,都利用相似的API调用,都必须通过Windows虚拟存储API中的相同API转发。如Will Dormann在卡耐基梅隆大学(Carnegie Mellon University)的论文“VHD和VHDX文件的危险”中指出的那样,ISO文件在恶意软件活动方面处于更大的劣势。他证明了许多杀毒软件可能无法以编程方式安装VHD / VHDX文件,尽管看上去它们能够在某种程度上解析ISO映像,但是本文并不打算深入研究这个话题。

为什么使用ISO文件而不是VHD/VHDX?本文旨在专门解决攻击者使用的方法。与VHD/ VHDX文件相比,隐藏ISO映像也容易得多, VHD文件的最小大小为2MB。

1.png

尽管2MB大小的Windows报告是一个误导,指定2MB将返回ERROR_INVALID_PARAMETER或以下映像:

2.png

指定3MB结果如下:

3.png

我能够分配的最小VHD文件是5MB GUID分区表(GPT)。

4.png

相反,如果我们使用一些通用的ISO制作器,在这个特殊的情况下,我使用MagicISO制作器,可以制作出一个更小的文件:

5.png

关于隐身性及其与小型文件的相关性,与VHD文件相比,ISO文件具有很多优势。

你可能想知道ISO文件和VHD文件有什么共同点,因为本文着重于ISO文件安装。ISO文件以及VHD/VHDX文件都使用相同的虚拟存储API。此外,乍一看,在虚拟存储API文档中甚至没有提到ISO文件,直到你开始阅读通过AttachVirtualDisk安装虚拟磁盘映像时,才会看到以下内容:附加虚拟硬盘(VHD)或CD或DVD。

映像文件(ISO),方法是找到合适的VHD提供程序以完成附件,此时你就可以了解ISO文件和VHD可以在其API省略中互换使用。

OpenVirtualDisk的调用定义如下:

6.png

第一个参数VirtualStorageType,必须是指向VIRTUAL_STORAGE_TYPE结构的有效指针,该结构定义为:

7.png

成员DeviceId必须设置为VIRTUAL_STORAGE_TYPE_DEVICE_ISO。另外,VendorId必须设置为VIRTUAL_STORAGE_TYPE_VENDOR_MICROSOFT。

如果成功完成此操作,那么其他所有内容实际上都将与VHD/VHDX文件相同。

代码

我的概念验证包含很多通用编程,例如验证我们是否在Windows 10上运行,获取放置ISO文件的位置以及确保我们拥有适当的权限。以下是代码的功能概述:

1.获取PEB,确保我们的代码在Windows 10上运行。

8.png

2.使用USERPROFILE变量调用GetEnvironmentVariable以获取当前用户。

3.如果成功调用了GetEnvironmentVariable,则连接“\\Desktop\\Demo.iso”。

9.png

4.检查我们的安全令牌,如果我们没有SeManageVolumePrivilege,请提出以下请求。

10.png

5.使用正确初始化的VIRTUAL_STORAGE_TYPE结构调用OpenVirtualDisk。

11.png

6.调用AttachVirtualDisk,将ATTACH_VIRTUAL_DISK_FLAG设置为ATTACH_VIRTUAL_DISK_FLAG_READ_ONLY和ATTACH_VIRTUAL_DISK_FLAG_NO_DRIVE_LETTER。

12.png

7. GetVirtualDiskPhysicalPath会检索到我们已安装的ISO的物理路径。

8.如果成功调用了GetVirtualDiskPhysicalPath,请连接“\\Demo.exe”。

13.png

9.调用CreateProcess。

10.确保成功或失败后,所有句柄和堆都要关闭,然后退出。

14.png

ics-report-2018-featured-e1550010921723.jpg

联邦调查局警告,富士电机的工业控制软件(ICS)中存在多个高危的任意代码执行安全漏洞。当局警告说,这些漏洞可能会对工厂以及关键的基础设施进行物理攻击。

富士电机的Tellus Lite V-Simulator和V-Server Lite都受到了此漏洞的影响,这些漏洞的CVSS严重性评级均为7.8。这两款产品可以组成一个全方位的人机界面(HMI)系统,主要用于远程监控和实时收集生产数据,控制工业中各种关键基础设备。它可以与各种制造商的可编程逻辑控制器(PLC)、温度控制器、变频器等接口进行交互。

CISA解释说:"利用这些漏洞,攻击者在应用程序的权限下就可以执行任意代码"。

根据网络安全和基础设施安全局(CISA)本周发布的警告,这些安全漏洞需要 "很高的利用条件"。它们不能被远程利用,因此非本地的攻击者必须在进行攻击活动之前获得对用户计算机的初始访问权限。然而,Gurucul的首席执行官Saryu Nayyar告诉Threatpost,这个条件并不难实现。

她说:"最可能的攻击方式是通过一种主流常见的方法来入侵用户的桌面,或者以其他方式获得受漏洞影响的平台的访问权限,然后,恶意攻击者会向系统中上传一个恶意文件,文件将利用该漏洞,使攻击者能够入侵服务器。"

真实的攻击场景

虽然工业环境中最好的生产方式是将物理设备运行在一个隔离的环境中(操作技术或OT环境),但越来越多的平台,如Tellus Lite V-Simulator和V-Server Lite,将IT资源连接到以前隔离的环境。这一行为又使ICS面临着潜在的物理攻击。

Cerberus Sentinel的总经理Christian Espinosa向Threatpost解释说:"ICS和SCADA系统面临的最大挑战之一是它们不再是在隔离的网络上运行,尽管通常'防火墙'是关闭的,但它们基本上是连接在互联网上的,这大大增加了黑客利用漏洞进行攻击的风险。"

Nayyar表示,在这种环境下,最糟糕的情况是攻击者执行一个文件,可能会对生产线上大量的制造设备造成破坏。但是,她说:"更有可能的情况是工业生产速度变慢,生产线丢失大量宝贵的数据"。

根据Espinosa的说法,这些漏洞可以实现其他的几个目的。

他解释说:"攻击者可以改变HMI监控系统上显示的数据,这样监控系统的管理人员就不会察觉到黑客对于远程设备的攻击,"。他用了一个比喻,这种情况就像是对于摄像头的图像信号发动攻击,这样犯罪分子就可以在安保人员不注意的情况下进行攻击。

他补充说:"或者,他们可以在监控显示屏上制造一个异常信息,然后促使设备发生一个应急响应。"他指出,这类似于触发火灾警报,使监控系统的人打开喷淋装置灭火,同时破坏设备。

他说:"Stuxnet实际上利用了一个类似的漏洞,Stuxnet中的一个漏洞就是使HMI上的数据看起来没有任何没异常,这样离心机就不会提醒操作人员现在正在以极高的速度旋转,最终会导致离心机破裂。"

富士电机的具体漏洞

富士电机Tellus Lite V-Simulator和V-Server Lite中受漏洞影响的版本中存在着五种不同的安全漏洞。它们都是在应用程序处理项目文件时才会被触发,它允许攻击者制作一个特殊的项目文件,从而进行任意代码执行攻击。

这些漏洞包括:

多个基于堆栈的缓冲区溢出漏洞,统称为CVE-2021-22637。

多个越界读取漏洞,统称为CVE-2021-22655。

多个越界写入漏洞,统称为CVE-2021-22653。

一个未初始化指针漏洞(CVE-2021-22639)。

并且还存在一个基于堆的缓冲区溢出漏洞(CVE-2021-22641)。

该平台在v4.0.10.0之前的版本中存在漏洞。CISA表示,到目前为止,还没有公开的工具专门针对这些漏洞进行攻击,但管理员应该尽快安装补丁。

Nayyar说:"这种攻击是针对特定平台的特定漏洞,而且现在已经研制出了补丁。这是防止攻击的第一步,从更普遍的意义上讲,及时更新系统的补丁始终是最好的安全措施。制造设备应在尽可能隔离的工业环境中来运行,减少暴露在外界的可能性;并且,控制系统需要通过安全策略、流程和技术来加强网络安全保护措施,降低未经授权访问的风险。"

Kimiya,VinCSS的Tran Van Khang和一位匿名研究人员,通过与趋势科技的零日计划合作,向CISA报告了这些漏洞。

ics-report-2018-featured-e1550010921723.jpg

联邦调查局警告,富士电机的工业控制软件(ICS)中存在多个高危的任意代码执行安全漏洞。当局警告说,这些漏洞可能会对工厂以及关键的基础设施进行物理攻击。

富士电机的Tellus Lite V-Simulator和V-Server Lite都受到了此漏洞的影响,这些漏洞的CVSS严重性评级均为7.8。这两款产品可以组成一个全方位的人机界面(HMI)系统,主要用于远程监控和实时收集生产数据,控制工业中各种关键基础设备。它可以与各种制造商的可编程逻辑控制器(PLC)、温度控制器、变频器等接口进行交互。

CISA解释说:"利用这些漏洞,攻击者在应用程序的权限下就可以执行任意代码"。

根据网络安全和基础设施安全局(CISA)本周发布的警告,这些安全漏洞需要 "很高的利用条件"。它们不能被远程利用,因此非本地的攻击者必须在进行攻击活动之前获得对用户计算机的初始访问权限。然而,Gurucul的首席执行官Saryu Nayyar告诉Threatpost,这个条件并不难实现。

她说:"最可能的攻击方式是通过一种主流常见的方法来入侵用户的桌面,或者以其他方式获得受漏洞影响的平台的访问权限,然后,恶意攻击者会向系统中上传一个恶意文件,文件将利用该漏洞,使攻击者能够入侵服务器。"

真实的攻击场景

虽然工业环境中最好的生产方式是将物理设备运行在一个隔离的环境中(操作技术或OT环境),但越来越多的平台,如Tellus Lite V-Simulator和V-Server Lite,将IT资源连接到以前隔离的环境。这一行为又使ICS面临着潜在的物理攻击。

Cerberus Sentinel的总经理Christian Espinosa向Threatpost解释说:"ICS和SCADA系统面临的最大挑战之一是它们不再是在隔离的网络上运行,尽管通常'防火墙'是关闭的,但它们基本上是连接在互联网上的,这大大增加了黑客利用漏洞进行攻击的风险。"

Nayyar表示,在这种环境下,最糟糕的情况是攻击者执行一个文件,可能会对生产线上大量的制造设备造成破坏。但是,她说:"更有可能的情况是工业生产速度变慢,生产线丢失大量宝贵的数据"。

根据Espinosa的说法,这些漏洞可以实现其他的几个目的。

他解释说:"攻击者可以改变HMI监控系统上显示的数据,这样监控系统的管理人员就不会察觉到黑客对于远程设备的攻击,"。他用了一个比喻,这种情况就像是对于摄像头的图像信号发动攻击,这样犯罪分子就可以在安保人员不注意的情况下进行攻击。

他补充说:"或者,他们可以在监控显示屏上制造一个异常信息,然后促使设备发生一个应急响应。"他指出,这类似于触发火灾警报,使监控系统的人打开喷淋装置灭火,同时破坏设备。

他说:"Stuxnet实际上利用了一个类似的漏洞,Stuxnet中的一个漏洞就是使HMI上的数据看起来没有任何没异常,这样离心机就不会提醒操作人员现在正在以极高的速度旋转,最终会导致离心机破裂。"

富士电机的具体漏洞

富士电机Tellus Lite V-Simulator和V-Server Lite中受漏洞影响的版本中存在着五种不同的安全漏洞。它们都是在应用程序处理项目文件时才会被触发,它允许攻击者制作一个特殊的项目文件,从而进行任意代码执行攻击。

这些漏洞包括:

多个基于堆栈的缓冲区溢出漏洞,统称为CVE-2021-22637。

多个越界读取漏洞,统称为CVE-2021-22655。

多个越界写入漏洞,统称为CVE-2021-22653。

一个未初始化指针漏洞(CVE-2021-22639)。

并且还存在一个基于堆的缓冲区溢出漏洞(CVE-2021-22641)。

该平台在v4.0.10.0之前的版本中存在漏洞。CISA表示,到目前为止,还没有公开的工具专门针对这些漏洞进行攻击,但管理员应该尽快安装补丁。

Nayyar说:"这种攻击是针对特定平台的特定漏洞,而且现在已经研制出了补丁。这是防止攻击的第一步,从更普遍的意义上讲,及时更新系统的补丁始终是最好的安全措施。制造设备应在尽可能隔离的工业环境中来运行,减少暴露在外界的可能性;并且,控制系统需要通过安全策略、流程和技术来加强网络安全保护措施,降低未经授权访问的风险。"

Kimiya,VinCSS的Tran Van Khang和一位匿名研究人员,通过与趋势科技的零日计划合作,向CISA报告了这些漏洞。