Windows虚拟技术的武器化尝试
几周前,MicrosoftSecurityIntelligence发现有个攻击者论坛正在讨论如何利用恶意ISO文件进行各种恶意软件活动。根据分析,恶意软件活动也开始使用ISO文件,例如Phobos勒索软件,ZLoader,LokiBot和Nanocore。其实这些攻击已经没有什么新鲜的了,因为恶意ISO文件的使用已有相当长的一段时间了。但是,据我所知,还没有任何研究者发现过任何示例代码。
准确地演示如何成功地将ISO文件武器化,而不是使用相当旧的关于ISO感染的SPTH文件。其实这也不奇怪,因为Windows操作系统直到2009年10月22日才对虚拟化本身提供支持。
如果你想研究如何以编程方式安装ISO映像,你将会非常失望。因为这个StackOverflow答案中显示的代码是错误的。函数调用是准确的,但是,它使最终需要完成的操作过于复杂。无论如何,我写这篇文章不是为了bashStackOverflow问题和答案,关键在于该代码。
目前网上关于如何安装ISO或VHD映像的方法都存在一定的误导性,因此我希望找到这个问题的真正答案。
本文将说明如何正确安装要用于恶意目的的ISO文件,我们的目标是在不建立用户可见路径或分配驱动器号的情况下安装ISO。本文还将简要回顾一下ISO与VHD/VHDX。
需要注意的是,本文将不会介绍如何以编程方式生成ISO/VHD映像。其实可以使用WINAPI以编程方式执行此操作,但这不是我的目标,我想研究的更深入一点。此外,本文不会针对不同的杀毒软件厂商对该技术进行基准测试,这仅仅是一个概念验证。
与本文相关的代码使用的是CWINAPI,如果你不熟悉C或WINAPI,则可能难以理解。另外,我选择C是因为我不喜欢C#.NET或Python来开发恶意软件。
ISO文件,VHD文件和虚拟存储API
ISO文件和VHD文件有什么区别?答案是一个ISO文件反映光盘驱动器的数字副本,例如CD/DVD,而VHD是实际的虚拟硬盘驱动器。两者都可以由Windows操作系统虚拟化和安装,都利用相似的API调用,都必须通过Windows虚拟存储API中的相同API转发。如WillDormann在卡耐基梅隆大学(CarnegieMellonUniversity)的论文“VHD和VHDX文件的危险”中指出的那样,ISO文件在恶意软件活动方面处于更大的劣势。他证明了许多杀毒软件可能无法以编程方式安装VHD/VHDX文件,尽管看上去它们能够在某种程度上解析ISO映像,但是本文并不打算深入研究这个话题。
为什么使用ISO文件而不是VHD/VHDX?本文旨在专门解决攻击者使用的方法。与VHD/VHDX文件相比,隐藏ISO映像也容易得多,VHD文件的最小大小为2MB。
尽管2MB大小的Windows报告是一个误导,指定2MB将返回ERROR_INVALID_PARAMETER或以下映像:
指定3MB结果如下:
我能够分配的最小VHD文件是5MB GUID分区表(GPT)。
相反,如果我们使用一些通用的ISO制作器,在这个特殊的情况下,我使用MagicISO制作器,可以制作出一个更小的文件:
关于隐身性及其与小型文件的相关性,与VHD文件相比,ISO文件具有很多优势。
你可能想知道ISO文件和VHD文件有什么共同点,因为本文着重于ISO文件安装。ISO文件以及VHD/VHDX文件都使用相同的虚拟存储API。此外,乍一看,在虚拟存储API文档中甚至没有提到ISO文件,直到你开始阅读通过AttachVirtualDisk安装虚拟磁盘映像时,才会看到以下内容:附加虚拟硬盘(VHD)或CD或DVD。
映像文件(ISO),方法是找到合适的VHD提供程序以完成附件,此时你就可以了解ISO文件和VHD可以在其API省略中互换使用。
OpenVirtualDisk的调用定义如下:
第一个参数VirtualStorageType,必须是指向VIRTUAL_STORAGE_TYPE结构的有效指针,该结构定义为:
成员DeviceId必须设置为VIRTUAL_STORAGE_TYPE_DEVICE_ISO。另外,VendorId必须设置为VIRTUAL_STORAGE_TYPE_VENDOR_MICROSOFT。
如果成功完成此操作,那么其他所有内容实际上都将与VHD/VHDX文件相同。
代码
我的概念验证包含很多通用编程,例如验证我们是否在windows10上运行,获取放置ISO文件的位置以及确保我们拥有适当的权限。以下是代码的功能概述:
1.获取PEB,确保我们的代码在Windows10上运行。
2.使用USERPROFILE变量调用GetEnvironmentVariable以获取当前用户。
3.如果成功调用了GetEnvironmentVariable,则连接“\\Desktop\\Demo.iso”。
4.检查我们的安全令牌,如果我们没有SeManageVolumePrivilege,请提出以下请求。
5.使用正确初始化的VIRTUAL_STORAGE_TYPE结构调用OpenVirtualDisk。
6.调用AttachVirtualDisk,将ATTACH_VIRTUAL_DISK_FLAG设置为ATTACH_VIRTUAL_DISK_FLAG_READ_ONLY和ATTACH_VIRTUAL_DISK_FLAG_NO_DRIVE_LETTER。
7. GetVirtualDiskPhysicalPath会检索到我们已安装的ISO的物理路径。
8.如果成功调用了GetVirtualDiskPhysicalPath,请连接“\\Demo.exe”。
9.调用CreateProcess。
10.确保成功或失败后,所有句柄和堆都要关闭,然后退出。
本文翻译自:
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10
相关文章
- 勒索,恶意软件和残酷的骗局-恶意软件2021年报告
- 对中东石油和天然气供应链产业的APT攻击
- Gartner发布2020年端点安全技术成熟度曲线报告
- 苹果手机微信聊天记录删除了怎么恢复?
- 专访 HackerOne COO 王宁:尊重规则是漏洞平台成功的秘诀,欢迎更多成人网站进驻 | 宅客
- Win10搜索没有结果
- Edge浏览器总是出现选择以设置Adobe flash
- 王者荣耀中如何赠送好友英雄?
- 加密解密那些事之SSL(https)中的对称加密与非对称加密
- Getright 5 手动脱壳和重建IAT--第一部分(图)
- 内存不能为read修复方法 解决内存不能为read
- 软件安装过程出现错误,无法修改系统设置
- 技嘉遭勒索软件攻击 黑客威胁称不支付赎金就公开112GB内部数据
- 解决Win10专业版系统更新后网络变慢的问题
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 3深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1电脑公司 GhostXpSp3 新春特别 电脑城装机版 2021年2月 ISO镜像高速下载
- 2雨林木风系统 Ghost XP SP3 新春特别 装机版 YN2020年2月 ISO镜像高速下载
- 3番茄花园Ghost Win8.1 x64 办公纯净版2018年10月(激活版) ISO镜像快速下载
- 4深度技术 Windows 10 x64 企业版 电脑城装机版2019年6月(64位) 高速下载
- 5番茄花园GhostWin7 SP1电脑城新春特别 极速装机版2022年2月(32位) 最新高速下载
- 6雨林木风Ghost Win8.1 (X64) 极速纯净版2022年2月免激活) ISO镜像高速下载
- 7雨林木风Ghost Win7 x64 SP1 极速装机版2019年10月(64位) 高速下载
- 8深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年6月(64位) 高速下载
- 9新萝卜家园 GhostWin7 SP1 电脑城极速稳定版2019年4月(32位) 最新版ISO镜像下载
- 10番茄花园 Ghost XP SP3 海量驱动装机版 2022年5月 ISO镜像高速下载