Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

CEO, Hacktivity Conference

KiadtaΙσοκράτης Βουγιουκλάκης Megváltozta több, mint 4 éve

Hasonló előadás

Az előadások a következő témára: "CEO, Hacktivity Conference"— Előadás másolata:

1 CEO, Hacktivity Conference
COM Object Hijacking Marosi-Bauer Attila OSEE, OSCE, OSCP, ECSA, CEH CEO, Hacktivity Conference

2 # whoami Principal Threat Analyst  CEO & programbizottság

3 DEMO Junction Folders

4 COM Object model Nagyon régóta része a Windows architektúrának
A Winodws igen jelentős része ezen keresztül működik Programkomponensek regisztrálhatják be ide magukat Többnyire DLL De lehet akár valamilyen script fájl is! Ezt a globális gyűjteményt a Windows kezeli (Windows Registry) CLSID Ezek alapján lehet beazonosítani az egyes komponenseket De lehet név (ProgID) alapján is hivatkozni egy ilyen objektumra (pl:  IFileOpenDialog, Scripting.Dictionary)

5 COM Object Egy nagyon általános példa

6 COM Object Egy nagyon általános példa

7 DEMO ProcMon, InProcServer32

8 COM Object modell HKCU vs. HKLM
HKLM (HKEY_LOCAL_MACHINE\Software\Classes) rendszerszintű (local machine) objektumok A feltelepített alkalmazások ide pakolják be azokat az objektumokat, amiket minden egyes felhasználói fiókból el kell tudni érni HKCU (HKEY_CURRENT_USER\Software\Classes) Ebben az ágban találhatóak meg egy adott felhasználóhoz (current user) regisztrált COM object-ek

9 COM Object modell Biztonsági modell
HKLM (HKEY_LOCAL_MACHINE\Software\Classes) Ezt bármilyen integritású folyamat használhatja A magas integritású folyamatok csak ezt használják! Csak magas integritású folyamatok módosíthatják HKCU (HKEY_CURRENT_USER\Software\Classes) Alacsony és közepes integritású folyamatok Értelemszerűen az adott felhasználó használja csak. 

10 COM Keresési sorrend COM Search Order
És itt jön a csoda ... Alacsony és közepes integritású folyamatok először: HKEY_CURRENT_USER\Software\Classes ágban keresnek Ha itt nem találják meg az objektumot, akkor: HKEY_LOCAL_MACHINE\Software\Classes Pont ugyanaz mint a DLL search order hijacking

11 COM Object Hijacking Valami ilyesmire lenne szükségünk:
PowerShell snippet:  #> Hook-InProcServer -CLSID 2E1271D5-2FF2-4EA C67A82A2D85C -Path c:\TestDir\test_dll_x64.dll  Code autor: Ruben Boonen

12 PowerShell – Hook InProcServer32 Restart explorer.exe
DEMO PowerShell – Hook InProcServer32 Restart explorer.exe

13 Mennyi az annyi? A frissen telepített Windows 10-ben közel 300 (!!) olyan CLSID van, amit el lehet téríteni Ez a telepítések (Office, egyéb alkalmazások) többszörösére is duzzadhat Ennyi lehetséges ajtón tudunk bemenni az egyes folyamatokba Ennyi lehetőségünk van, hogy perzisztensek legyünk

14 COM Object DoS (nem kompatibilis interface DoS)
Mi van ha a CLSID „mögött” lévő DLL nem rendelkezik azokkal az interfészekkel, amiket az őt betöltő folyamat elvár tőle?? Figyelmen kívül hagyja és csökkentett funkcionalitással megy tovább, vagy Nem tudja lekezelni és kilép, összeomlik Ha ez mondjuk egy felügyeleti (AV) alkalmazásban történik, akkor ezzel nagy mértékben lehet annak „hatékonyságát” csökkenteni. 

15 Útravalóként COM-on keresztül nagyon könnyű kódot injektálni
Könnyen, egyszerűen kivitelezhető A többi injektálási eljáráshoz képest hangtalan Process Hollowing, Reflected DLL injection, CreateRemoteThread Pusztán regisztry módosítással = perzisztencia, code inject A legtöbb biztonsági megoldás még nem figyeli A COM object = rengeteg lehetőség InProcServer32 (ezt használtam most) LocalServer, TreatAs, InProcHandler32, Interfaces ...

16 Hivatkozások és hasznosságok :P
Junction Folders COM Object Hijacking breaking/ objects.html objects-part-two.html part-2-loading-techniques-for-evasion-and-persistence/

17 CEO, Hacktivity Conference
Köszönöm a figyelmet! Marosi-Bauer Attila OSEE, OSCE, OSCP, ECSA, CEH CEO, Hacktivity Conference

Letölteni ppt "CEO, Hacktivity Conference"

Hasonló előadás

A PC gépek szoftverei Kérdés: Mi az elefánt? Válasz: Egér operációs rendszerrel.

A PC gépek szoftverei Kérdés: "Mi az elefánt?" Válasz: "Egér operációs rendszerrel."
T ESZTELÉS. C ÉLJA Minél több hibát találjunk meg! Ahhoz, hogy az összes hibát fölfedezzük, kézenfekvőnek tűnik a programot az összes lehetséges bemenő.

T ESZTELÉS. C ÉLJA Minél több hibát találjunk meg! Ahhoz, hogy az összes hibát fölfedezzük, kézenfekvőnek tűnik a programot az összes lehetséges bemenő.
Grafikus felhasználó felület Windows alatt

Grafikus felhasználó felület Windows alatt
Készítette: Kun Béla.  Operációs rendszernek nevezzük a számítástechnikában a számítógépeknek azt az alapprogramját, mely közvetlenül kezeli a hardvert,

Készítette: Kun Béla.  Operációs rendszernek nevezzük a számítástechnikában a számítógépeknek azt az alapprogramját, mely közvetlenül kezeli a hardvert,
ADATBÁZISOK.

ADATBÁZISOK.
Kiss-Tóth Marcell www.kiss-toth.hu Flash és PHP? De még mennyire!

Kiss-Tóth Marcell Flash és PHP? De még mennyire!
Videó feldolgozás Microsoft Windows alatt

Videó feldolgozás Microsoft Windows alatt
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET 2012.03.06.

Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Protecting the irreplaceable | f-secure.com Mobile Security for Business.

Protecting the irreplaceable | f-secure.com Mobile Security for Business.
2008 novemberOrbán Zoltán – LogiPen Kft.. Mit is kell adminisztrálni…?  Szabályzat  Dolgozói tájékoztató  Munkavállalói nyilatkozatok (új belépők is!)

2008 novemberOrbán Zoltán – LogiPen Kft.. Mit is kell adminisztrálni…?  Szabályzat  Dolgozói tájékoztató  Munkavállalói nyilatkozatok (új belépők is!)
Piacképes programozói tudás a középiskolában

Piacképes programozói tudás a középiskolában
2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.

2012. tavaszi félév Vitéz Gergely. A diasor ismerete nem helyettesíti a tankönyvet, és a példatárat. A diasor ismerete szükséges, de nem elégséges feltétele.
Programozás III KOLLEKCIÓK 2..

Programozás III KOLLEKCIÓK 2..
A Microsoft rendszermenedzsment víziója A Dynamic Systems Initiative A System Definition Model Az üzemeltetésre tervezett szoftverek A SDM jelentősége.

A Microsoft rendszermenedzsment víziója A Dynamic Systems Initiative A System Definition Model Az üzemeltetésre tervezett szoftverek A SDM jelentősége.
Eszközök, amelyekkel alkalmazások és számítógépek kompatibilitási kérdései vizsgálhatók meg új Windows verzióra átállás előtt Rengeteg foltozást is képes.

Eszközök, amelyekkel alkalmazások és számítógépek kompatibilitási kérdései vizsgálhatók meg új Windows verzióra átállás előtt Rengeteg foltozást is képes.
NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.

NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Micskei Zoltán Előadások:

Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Micskei Zoltán Előadások:
Adatbányászati technikák (VISZM185)

Adatbányászati technikák (VISZM185)
Számítógépvírusok.

Számítógépvírusok.
Junit testing.

Junit testing.

Hasonló előadás

Google Hirdetések