خرید vpn خوب

بهره برداری از BGInfo برای نفوذ به یک شبکه شرکتی

خلاصه اجرایی

در BGInfo بردار حمله اعدام کد از راه دور وجود دارد. یک مهاجم باهوش می تواند در یک فایل پیکربندی BGInfo (.bgi) راهی به یک اسکریپت مخرب تعبیه کند. اگر آنها بتوانند کاربری را متقاعد کنند که روی پرونده پیکربندی کلیک کند ، این اسکریپت مخرب را از یک مکان از راه دور بارگیری کرده و در حافظه روی دستگاه قربانی اجرا می کند.

در اثبات مفهوم ما ، هیچ یک از عمده ترین ارائه دهندگان نامه الکترونیکی را آزمایش نکردیم پیوست پرونده مخرب .bgi ما را مسدود کرد.

BGInfo چیست؟

BGInfo ابزاری است که بخشی از Sysinternals است. به شما امکان می دهد اطلاعات پیکربندی دستگاه را در تصویر زمینه دسک تاپ نمایش دهید. بیمارستان ها ، مدارس و شرکت های بزرگ با نقاط انتهایی زیاد اغلب از BGInfo استفاده می کنند تا sysadmins هنگام ورود به سیستم جزئیات مانند آدرس IP ، نسخه سیستم عامل و نام میزبان را آسان ببیند: ]

چگونه می توانید از BGInfo سوit استفاده کنید؟

سیستم عامل هنگام اجرا برای اولین بار برنامه BGInfo را به طور خودکار با پسوند .bgi مرتبط می کند. هر پرونده .bgi که یک کاربر دوبار کلیک کند به طور خودکار با استفاده از BGInfo قابل اجرا و بدون درخواست کاربر اجرا می شود. یک مثال عالی این مقاله در مورد دور زدن لیست سفید برنامه با BGInfo است.

آنچه ما در اینجا به شما نشان خواهیم داد این است که چگونه BGInfo می تواند یک روش عالی برای یک مهاجم برای جلوگیری از شناسایی توسط ضد فیشینگ و ضد ویروس باشد.

جریان حمله ای که ما در اینجا نشان خواهیم داد منحصر به فرد است زیرا پرونده های bg آلوده ، از نظر ما ، به عنوان سلاحی برای آلودگی اولیه ، دور زدن امنیت ایمیل و شناسایی ضد فیشینگ ، اثبات نشده است.

The Attack Flow [19659002] 1) مهاجم یک پرونده .bgi مخرب با یک تعریف شده توسط کاربر حاوی مسیری به یک اسکریپت از راه دور .vbs ایجاد می کند. در مورد ما ، این اسکریپت در یک اشتراک فایل از راه دور ذخیره شده است ، اما می تواند در فضای ابر نیز ذخیره شود: 2.) مهاجم با پرونده .bgi ضمیمه شده یک ایمیل فیشینگ برای قربانی ارسال می کند. از آنجا که پسوند .bgi (هنوز) خطرناک در نظر گرفته نشده است ، همه ارائه دهندگان نامه های الکترونیکی که ما آزمایش کردیم به قربانی ما اجازه دریافت و دریافت فایل را بدون هیچ گونه هشدار داده اند.

3.) قربانی ، که قبلاً در گذشته یک فایل .bgi را اجرا کنید ، و بر روی پرونده .bgi کلیک کنید تا اجرا شود.

4) فایل پیکربندی به قسمت SMB کنترل شده توسط مهاجم متصل می شود و اسکریپت مخرب .vbs را در حافظه اجرا می کند. [19659003] توجه: اگر سازمانی پرونده .ggi پیش فرض خود را بر روی اشتراک شبکه ذخیره کند ، یک مهاجم می تواند آن را با نسخه آلوده جایگزین کند و به سرعت بسیاری از رایانه های شبکه را آلوده کند.

این یک فیلم سریع است که ضبط کرده ایم. برای اثبات اثبات مفهوم. توجه کنید که چگونه فایل .bgi توسط [جیمیل] پرچم گذاری نشده است و .bgi را بدون هیچ اخطاری روی دستگاه کاربر اجرا می کند. ما به سادگی calc.exe پرتاب VBScript خود را داشتیم ، اما یک مهاجم می تواند خیلی بدتر از این عمل کند!

اسکریپت VBS چه کاری می تواند انجام دهد؟

هنگامی که یک مهاجم می تواند کد دلخواه را بر روی دستگاه قربانی اجرا کند ، امکانات بی پایان است. ما دیده ایم که مهاجمان از vvbs اولیه به عنوان قطره چکان برای بارگیری محموله های بزرگتر مانند باج افزار Maze ، Cobalt Strike ، Mimikatz و غیره استفاده می کنند.

آنچه از این نقطه اتفاق می افتد به اهداف مهاجم بستگی دارد:

  • شکار اطلاعات در مورد ماشین قربانی
  • ایجاد یک کانال مخفی C2 از طریق DNS
  • سعی کنید به صورت جانبی به ماشین های دیگر موجود در شبکه بروید
  • درهای پشتی مداوم را در رجیستری سیستم یا برنامه ریز کار بکارید

برای نگاهی عمیق تر به رفتار مهاجمان پس از نفوذ ، کارگاههای زنده حمله سایبری ما را بررسی کنید.

تخفیفات

  • لیست سفید سرور پست الکترونیکی خود را به روز کنید تا از انواع ناشناخته پیوست پرونده جلوگیری کنید
  • ابزارهای امنیتی برای شناسایی نقطه پایانی و ایمیل خود را برای مسدود کردن یا قرنطینه کردن ضمیمه ها .bgi به روز کنید
  • ] برای جلوگیری از دسترسی به اشتراک فایل های از راه دور SMB ، فایروال خود را به روز کنید

داشتن یک دفاع لایه ای نیز مهم است. این مقاله تهدید مربوط به BGInfo را توصیف می کند ، اما فردا روش جدیدی برای نفوذ به شبکه ، تشدید امتیازات و سرانجام سرقت اطلاعات وجود دارد (نگاه کنید به: Zerologon).

Varonis رویکرد داده محور را برای امنیت سایبری در نظر می گیرد. اگر مشاهده می کنید که با داده های شما چه اتفاقی می افتد ، پنهان کردن برای مهاجمان دشوارتر است. ما مجموعه ای منحصر به فرد از ترکیبات را شناسایی می کنیم که تهدیدات را در همه مراحل زنجیره کشتار مانند دسترسی مشکوک به داده ها ، تلاش برای ورود غیر عادی و انفجار DNS شناسایی می کند.

اگر می خواهید Platform Security Data Varonis را در عمل مشاهده کنید ، به سادگی درخواست کنید یک نسخه ی نمایشی در اینجا.