GIFShell атаки через Microsoft Teams - отправляем злую гифку
Wassup. Недавно вышел в свет метод атаки под названием «GIFShell», который позволяет злоумышленникам использовать Microsoft Teams для фишинговых атак и краж данных с помощью… GIF-файлов.
Новый сценарий атаки, показывает, как злоумышленники могут объединять многочисленные уязвимости и недостатки Microsoft Teams, чтобы злоупотреблять этой безобидной программой для внедрения вредоносных файлов, команд и данных через GIF.
Поскольку эксфильтрация данных осуществляется через собственные серверы Microsoft, трафик будет труднее обнаружить программному обеспечению безопасности, которое рассматривает его как законный трафик Microsoft Team.
В целом, метод атаки использует множество недостатков и уязвимостей Microsoft Teams:
- Обход элементов управления безопасностью позволяет внешним пользователям отправлять вложения пользователям Microsoft Teams.
- Изменение отправленного вложения, чтобы пользователи загружали файлы с внешнего URL-адреса, а не по созданной ссылке SharePoint.
- Искажение вложений Microsoft Teams, дабы они выглядели как безвредные файлы, но загружали вредоносный исполняемый файл или документ.
- Использование небезопасных схем URI, которые допускают кражу хэшей SMB NTLM или атаки NTLM Relay.
- Microsoft поддерживает отправку файлов GIF в кодировке HTML base64, но не сканирует байтовое содержимое этих файлов GIF. Это позволяет доставлять вредоносные команды в обычный GIF-файл.
- Microsoft хранит сообщения Teams в анализируемом файле журнала, расположенном локально на компьютере жертвы и доступном для пользователя с низким уровнем привилегий.
- Серверы Microsoft извлекают GIF-файлы с удаленных серверов, что позволяет осуществлять эксфильтрацию данных через имена файлов GIF.
Новая цепочка атак была обнаружена консультантом по кибербезопасности, а также пентестером Бобби Раухом, именно он в своё время указал на многочисленные уязвимости и недостатки, которые можно связать вместе для выполнения команд, кражи данных, обхода средств контроля безопасности и фишинговых атак.
Основной компонент этой атаки называется «GIFShell», он позволяет злоумышленнику создать обратную оболочку, которая доставляет вредоносные команды через GIF-файлы в кодировке base64 в Teams и отфильтровывает выходные данные через GIF-файлы, полученные собственной инфраструктурой Microsoft.
Чтобы создать эту обратную оболочку, злоумышленник должен сначала убедить пользователя установить вредоносный стейджер, который выполняет команды и загружает выходные данные команды через URL-адрес GIF в веб-хук Microsoft Teams. GIFShell обманным путем заставляет пользователя загрузить на свое устройство исполняемый файл вредоносного ПО, называемый «установщиком», который будет постоянно сканировать журналы Microsoft Teams, расположенные в папке:
Код:
$HOME\AppData\Roaming\Microsoft\Teams\IndexedDB\https_teams.microsoft.com_0.indexeddb. leveldb\*.log.
Все полученные сообщения сохраняются в этих журналах и доступны для чтения всем группам пользователей Windows, что означает, что любое вредоносное ПО на устройстве может получить к ним доступ. После установки вредонос создаст собственный клиент Microsoft Teams и свяжется с другими пользователями. Злоумышленники могут легко добиться этого, поскольку Microsoft по умолчанию разрешает внешнюю связь в данной программе.
Чтобы инициировать атаку, субъект угрозы может использовать скрипт Rauch GIFShell Python для отправки пользователю Teams`a сообщения, содержащего специально созданный GIF. Эта обыкновенная GIF было изменена, чтобы включать в себя команды для выполнения на целевом компьютере. Когда цель получит сообщение, сообщение и GIF будут сохранены в журналах Microsoft Team, которые отслеживает злоумышленник. В то время когда стейджер обнаруживает сообщение с GIF - он извлекает команды в кодировке base64 и выполняет их на устройстве. Затем GIFShell PoC перехватит вывод выполненной команды и преобразует его в текст base64. Этот текст base64 используется в качестве имени файла для удаленного GIF-файла, встроенного в форму, которую посредник отправляет в общедоступный веб-перехватчик злоумышленника. Когда Microsoft Teams отображает флэш-карты для пользователя, сервера Microsoft будут подключаться к URL-адресу сервера злоумышленника, чтобы получить GIFку, имя которой основано на выводе выполненной команды в кодировке base64.
GIFShell, работающий на сервере хакера, получит этот запрос и автоматически декодирует имя файла, позволяя увидеть команды, исполняемые на устройстве жертвы, как показано ниже.
Например, полученный файл GIF с именем «dGhlIHVzZXIgaXM6IA0KYm9iYnlyYXVjaDYyNzRcYm9iYnlyYXVJa0K.gif» будет декодирован в вывод команды «whoami», выполненной на зараженном устройстве:
Код:
the user is:
bobbyrauch6274\bobbyrauIkBáë
Огорчает также факт того, что Microsoft Teams работает ещё и как фоновый процесс, пользователю даже не нужно открывать его, данные уплывут в руки хакера самостоятельно. К обмену файлами в Microsoft Teams также прибегали и другие программы, включая программное обеспечение для мониторинга бизнеса, такое как Veriato, а также потенциально вредоносные программы.
Microsoft признала наличие этого бага, но заявила, что он не будет исправлен, поскольку не было обойдено никаких границ безопасности.
«В этом случае, хоть это и отличное исследование, команда инженеров постарается усовершенствовать эти области со временем, все они являются пост-эксплуатацией и зависят от цели, которая уже скомпрометирована», — сообщила Microsoft Рауху в электронном письме.
«Похоже, что ни одна граница безопасности не была обойдена. Команда разработчиков рассмотрит проблему на предмет возможных будущих изменений дизайна, но это не будет отслеживаться группой безопасности».
«Это исследование демонстрирует, как можно отправлять очень убедительные фишинговые вложения жертвам через Microsoft Teams без какой-либо возможности для пользователя предварительно проверить, является ли связанное вложение вредоносным или нет», — объясняет Раух в своей статье о методе фишинга.. Экспериментируя с вложениями в Microsoft Teams, Раух обнаружил, что когда кто-то отправляет файл другому пользователю, Microsoft создает ссылку Sharepoint, встроенную в запрос JSON POST к конечной точке Teams. Это сообщение JSON, тем не менее, может быть затем изменено, чтобы включить любую ссылку для скачивания, которую хочет вор, даже внешнюю ссылку. Более того, когда JSON отправляется пользователю через Teams, его также можно использовать для отправки вложений от имени другого пользователя в обход ограничений безопасности Microsoft Teams.
Например, приведенный ниже JSON был изменен, чтобы отображать имя файла Christmas_Party_Photo.jpeg, но на самом деле это удаленный исполняемый файл Christmas_Party_Photo.jpeg.............exe.
И теперь во время того как пользователь нажмет на ссылку, вложение загрузит исполняемый файл с сервера злоумышленника.
Итоги
Итоги можно не подводить, Майкрософт как обычно, а Тимсом лучше не пользуйтесь.
Последнее редактирование модератором:
