výmena súboru.link bez práv

HackForum

výmena súboru.link bez práv#
Zdravím dokáže klasický sowtware/malware zmeniť súbor .link na iný link bez práv na win10 ?
Windows má nejaké security feuthures to znamená keď sa pokusíte niečo premiestniť alebo prepísať bez práv tak to tuším defender zablokuje. ale stahovať a tuším aj mazať dokonca aj šifrovat súbory v klasických folderoch a na ploche ide bez problémov .
takže je možné aby malware zmenil .Link súbor ktorý vedie na chrome.exe na link súbor ktorý bude viesť na spustenie niečoho iného ? (bez toho aby to zablokoval defender a bez práv) .
(odpovědět)
QeezeR | 185.150.44.*1.12.2019 19:18
re: výmena súboru.link bez práv#
> Zdravím dokáže klasický sowtware/malware zmeniť súbor > .link na iný link bez práv na win10 ?

Pokud myslíte soubory zástupce (LNK), co máte například na ploše (obecně ve vašem uživatelském profilu) a malware/software běží též pod vaším uživatelským účtem, tak ano, takový program může vaše soubory bez problémů přepsat (neběží-li v nějaké msandboxu, což nebývá ten případ).

> Windows má nejaké security feuthures to znamená keď
> sa pokusíte niečo premiestniť alebo prepísať bez
> práv tak to tuším defender zablokuje. ale stahovať a
> tuším aj mazať dokonca aj šifrovat súbory v
> klasických folderoch a na ploche ide bez problémov .

Úlohou Defenderu není blokovat přístupy, na která program nemá oprávnění, o to se starů bezpečnostní model, kterýžto je tu s námi již od dob Windows NT (s mnoha vylepšeními). A jelikož uživatel obecně má právo zapisovat do svého profilu ("folderů"), takže není důvod by nemohl do těchto složek soubory stahovat či je tam šifrovat.

----------
2 + 2 = 5, for extremely large values of 2
(odpovědět)
Vrtule | E-mail | Website | PGP | ICQ 3329700402.12.2019 21:56
re: výmena súboru.link bez práv#
Vrtule , ďakujem moc .

čo si mám predstaviť pod pojmom "malware/software běží též pod vaším uživatelským účtem" -

štandardne keď niekto exekuuje malware (exe) tak automaticky beží pod uživatelským účtom alebo je v tom sandboxe ?

o čo mi ide ?
učím sa robiť v autoite a v pythone a najviac ma bavia robiť malware , teraz sa s tým hrám a
mne ide o to či by bolo možné spraviť to aby sa prepísali všetky LNK súbory ktoré smerujú na chrome.exe na LNK súbory ktoré smerujú na spustenie nejakého malwaru ktorá bude pracovať a samozrejme spustí aj požadovaný chrome ..

k čomu je to dobré ? spravil som nedetekovatelný keylogger ktorý zapisuje údaje na FTPčko , to znamená je nedetekovateľný aj najnovším windowsom 10 ktorý ma zapnuté všetky obranné funkcie a funguje bez práv ..

a kde je problém ? aby som ho dal do zložky "po spustený" potrebujem administratorské oprávnenia , to znamená rapídne klesne ratio úspešnej exekúcie a na reálnu akciu je to nápadné a väčšina ludí nepovolí aby sa niečo spúštalo po spustený.

Tak ma napadla myšlienka: načo nastavovať malware aby sa spuštal po spustený windows , keď ho môžem nastaviť tak aby ho uživaťel nevedomky zapol sám ..

väčšina ludí keď zapína počítač tak rovno zapne aj browser , to znamená sa im automaticky spustí nezvaný hosť .

tiež ma napadla myšlienka , že ak malware potrebuje administratorské práva na svoje fungovanie , tak prehodí tie linky a po kliknuti na ikonu (lnk) chormu si falošný ChromeBrowser.exe bude žiadať administratorské práva .. takže uživatel bude chcieť zapnuť cez lnk súbor chrome , tak na to klikne , malware ktorý sa tvári ako chrome si vypáta administratorské práva a spustí chrome :D a už sa bude moct ten malware spúštať aj po spustený ....

takže malo by to normálne fungovať aby malware zmenil lnk súbory za iné bez toho aby tam bola na win10 nejaká detekcia ?

Ja som spravil malware(keylogger) ktorý zapisoval klávesy do textového dokumentu na ploche ale detekovala mi to nejaká funkcia windowsu10 že nemôžem bez práv editovať dokument , tak som to musel vyriešiť tak že to zapisuje do FTPčka. ale meniť infomrácie v textákoch tiež môžem ako uživatel , tak prečo mi tá funkcia ten malware zablokovala(a na starších windowsoch to išlo) ? Keď bude malware meniť lnk súbor tak to nezablokuje nejaká funkcia windowsu10 ? nemal by to byť problem ?


BTW vymyslel som niečo nové , alebo stým lnk súborom sa to už používa dávno ? myslím že je to praktické , trochu také sociálne inžinierstvo keď si malware vypýta amdinistratorské práva po kliknutý na ikonu chromu, taže predpokladám že sa to už používa dávno .
(odpovědět)
QeezeR | 90.64.80.*3.12.2019 11:55
re: výmena súboru.link bez práv#
> štandardne keď niekto exekuuje malware (exe) tak
> automaticky beží pod uživatelským účtom alebo je v
> tom sandboxe ?

Záleží na aplikaci, která daný SW spouští, ale ve výchozím stavu se SW poběží pod stejným uživatelem. Ne v sandboxu.

> k čomu je to dobré ? spravil som nedetekovatelný
> keylogger ktorý zapisuje údaje na FTPčko , to
> znamená je nedetekovateľný aj najnovším windowsom 10
> ktorý ma zapnuté všetky obranné funkcie a funguje
> bez práv ..

Asi vím, o jakou techniku se jedná. Jestli jde o periodické skenování klávesnice, tak se jedná, zejména v našich končinách, o dosti nespolehlivou techniku. Vytěžuje CPU, reportuje špatné klávesy (vzhledem k jazykovému nastavení), navíc může některé stisky kláves minout (prostě v daném okamžiku není klávesnice skenována). Jde-li o Windows Hooks, tak tam jsou pořád problémy s těmi neanglickými jazyky. A ano, Windows možná nic hlásit nebude, ale libovolný trochu akčnější bezpečnostní balík ano. Na to jsou tyhle věci příliš známé.

> a kde je problém ? aby som ho dal do zložky "po
> spustený" potrebujem administratorské oprávnenia ,
> to znamená rapídne klesne ratio úspešnej exekúcie a
> na reálnu akciu je to nápadné a väčšina ludí
> nepovolí aby sa niečo spúštalo po spustený.

Pokud se chcete zapsat do Po spuštění pro všechny uživatele, tak ano (jedná se, na úrovni souborového systému, o jiný uživatelský profil). Pokud jen do profilu aktuálního uživatele, administrátorská práva netřeba. Jedná se ale opět o velmi známé umístění, kam se každý podívá.

> tiež ma napadla myšlienka , že ak malware potrebuje
> administratorské práva na svoje fungovanie , tak
> prehodí tie linky a po kliknuti na ikonu (lnk)
> chormu si falošný ChromeBrowser.exe bude žiadať
> administratorské práva .. takže uživatel bude chcieť
> zapnuť cez lnk súbor chrome , tak na to klikne ,
> malware ktorý sa tvári ako chrome si vypáta
> administratorské práva a spustí chrome :D a už sa
> bude moct ten malware spúštať aj po spustený ....

Google Chrome žádající administrátorská oprávnění, to je takový vzácný... až podezřelý úkaz...

> Ja som spravil malware(keylogger) ktorý zapisoval
> klávesy do textového dokumentu na ploche ale
> detekovala mi to nejaká funkcia windowsu10 že
> nemôžem bez práv editovať dokument , tak som to
> musel vyriešiť tak že to zapisuje do FTPčka. ale
> meniť infomrácie v textákoch tiež môžem ako uživatel
> , tak prečo mi tá funkcia ten malware zablokovala(a
> na starších windowsoch to išlo) ? Keď bude malware
> meniť lnk súbor tak to nezablokuje nejaká funkcia
> windowsu10 ? nemal by to byť problem ?

Nevím, o jakou bezpečnostní funkci Windows 10 se jedná (jestli to je nějaká ta pokročilejší ochrana, kterou je možno zapnout u Defenderu), ale spíš bych řekl, že děláte něco, čemu nerozumíte, a proto to nefunguje. Odesílat tajně data na FTP znamená, že pokud je nainstalován libovolný invazivnější bezp. software, tak uživatel okamžitě dostane varování.

> BTW vymyslel som niečo nové , alebo stým lnk súborom
> sa to už používa dávno ? myslím že je to praktické ,
> trochu také sociálne inžinierstvo keď si malware
> vypýta amdinistratorské práva po kliknutý na ikonu
> chromu, taže predpokladám že sa to už používa dávno
> .

Ne, nevymyslel.

----------
2 + 2 = 5, for extremely large values of 2
(odpovědět)
Vrtule | E-mail | Website | PGP | ICQ 3329700404.12.2019 9:51
re: výmena súboru.link bez práv#
Psát malware v Pythonu a AutoIT není úplně nejvhodnější.

V případě Pythonu musíš nějakým způsobem vytvořit ze skriptu EXE soubor. To je realizováno tak, že se vezme skript, přilepí se k němu intepret Pythonu a dále pak všechny potřebné knihovny. V konečné fázi má pak takové "Hello, World!" (což je jeden řádek kódu) kolem jednoho mega (dnes už možná i víc). Když pak chceš skutečně funkční malware, který komunikuje dejme tomu přes HTTP/HTTPS a zvládá nějaké ty základní operace (listování adresáře, čtení ze souboru, zápis do souboru, vytvoření/úprava/mazání adresáře/souboru, úprava registrů, nějaký ten local privilege escalation exploit, download/upload souboru z/na server) nedostaneš se pod nějakých 5MB, což už je psycho.

V případě AutoIT je situace sice jednodušší z pohledu programování a výsledné velikosti, avšak přímo vývojáři přidali do kompileru funkcionalitu, která vkládá do výsledného EXE souboru řetězec informující případného analytika, že byl kód zkompilován v AutoIT a že v případě nekalé činnosti mají být kontaktováni (situace cca 5 let zpět, teď už je to možná jinak). To do jisté míry velmi výrazně zjednodušuje potenciální detekci nekalé činnosti.

Pokud se tomu chceš věnovat dál, sáhni po jiném programovacím jazyce. Pro tebe se aktuálně asi bude hodit C# (dotNet je dnes součástí Windows) nebo Java (je nainstalována prakticky všude, navíc umožňuje vytvářet cross-platform aplikace). V budoucnu se můžeš přesunout k C/C++ (odpadne závislost na frameworcích a výsledná velikost aplikace je minimální) a ještě později k assembleru (při znalosti PE formátu a jeho modifikaci generuje nejmenší možné EXE soubory). Jinak ti vřele nedoporučuji tvé výtvory šířit dále. Dnes už se to rozhodně nevyplácí. A kvůli deseti minutám opojného štěstí z vypuštěného malware si zničit celý život asi nebude to, po čem bys toužil.

----------
Sec-Cave.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website4.12.2019 11:29
re: výmena súboru.link bez práv#
Hlavné je aby to nedetekovala windows 10 ochrana . keylogger funguje dobre a robí všetko ako má , ak nevie nejaké špecálne znaky tak mi to je vlastne relatívne jedno .

tak isto som spravil ransomware ktorý bez detekcie win10 security funkcii vedel zašifrovať súbory v uživatelom dostupných zložkách . problém je ten že síce zašifruje súbory a potom sa objaví GUI ransomwaru že musí uživatel zaplatiť , problém je ten že 99% ludí skúsi reštartovať počítač a gui sa už nespustí takže uživatel nebude vidieť správu od útočníka , samozrejme ide spraviť aby sa vytvoril nejaký html súbor na ploche alebo textový dokuement ale ten si uživatel nemusí všimnúť .

jedno riešenie je zmeniť pozadie pracovnej plochy kde bude navigácia od útočníka , to si uživatel určite všimne . Alebo dalšia je práve cez tie lnk ktoré som navrhol že po kliknutí na lnk súbor sa zapne tá gui navigácia .

môžem sa spýtať poznáš nejaké cool techniky ktoré malware využíva ? teraz nemyslím nejaké obfuskacie alebo polymorfné šifrovanie atd , myslím nejaék napr socialne inžinierstva alebo entry pointy pre malware , napríklad ako si vypýtať práva ako sa vyhnuť detekcii atd .

BTW na meno tej defenderskej funkcie si už nespomeniem , ale funguje iba na legal windowsoch lebo prišla po nejakej aktualizácii , myslím že je to funkcia zastavenia automatického premietnovania alebo niečo také . potom ešte najaký smart screen môže robiť problém ale stým som nemal problém nikdy.
(odpovědět)
QeezeR | 90.64.80.*4.12.2019 23:45

Zpět
Svou ideální brigádu na léto najdete na webu Ideální brigáda
 
 
 

 
BBCode