A comienzos de Junio se informo que unos autores de malware, están frenéticamente intentando utilizar un nuevo vector de infección. La infección seria mediante los accesos directos a archivos de configuración de Windows (.SettingContent-ms) con el fin de lograr ejecutar código en Windows 10.
Desde que el investigador de seguridad de SpecterOps Matt Nelson publicó su investigación sobre el tema hace tres semanas, los autores de malware han estado jugando con código de prueba de concepto en intentos de crear un exploit que pueda desplegar malware armado en el sistema de la víctima.
Cada dia que pasa, mas y mas exploit están siendo subidos a VirusTotal. El investigador de seguridad de FireEye Nick Carr, ha rastreado estas subidas hace mas de 2 semanas documentando los hallazgos en su cuenta de Twitter.
Pero mientras varias subidas no han sido efectivas, en los últimos días se han detectado varios exploit que intentan usar los archivos de Configuracion de Windows, para poder descargar e instalar malware. Por ejemplo este archivo de configuracion, podría descargar y hacer correr un .EXE que contenga un RAT."No engines detected this file" 😒— Nick Carr (@ItsReallyNick) 19 de junio de 2018
Let's change that: https://t.co/CYv9Ar22FF
^apply this #yara rule to unzipped OOXML contents as well!
Pictured: "alpha.docx"@VirusTotal (0/60): https://t.co/c6fHAcMKvE
Technique by @enigma0x3: https://t.co/ldnsaFzout pic.twitter.com/qYk2FjVJhq
"Quotation_Request_Sheet.SettingContent-ms"#DeepLink @enigma0x3 method— Nick Carr (@ItsReallyNick) 2 de julio de 2018
0 static AV detections in VT
Uses PowerShell to download & launch hxxps://lanitida[.]net/LAW231.exe
as %APPDATA%\Rundll32.exe
Uploaded just now (2 min ago): https://t.co/2OC6vzrXyw pic.twitter.com/84oTsnE7dm
Hasta ahora la investigación de Nelson, ha implicado que varias personas estén intentando crear archivos como armas de infección mediante esta nueva técnica, y no se descarta que ya se empiecen a ver intentos de infección mediante este vector.
Particularmente los archivos SettingContent-ms fueron introducidos en en Windows 10 y permiten a un usuario crear "accesos directos" a varias páginas de configuración de Windows 10. Estos archivos son simplemente XML y contienen rutas a varios binarios de configuración de Windows 10. Un ejemplo. El archivo .SettingContent-ms se verá así:
El problema de este tipo de acceso directo es que es fácilmente manipulable para que realice otro tipo de acciones mediante el tag <DeepLink>. Si se dan cuenta el tag tiene como valor %windir%\system32\contro.exe. Pero que pasa si se cambia la ruta por el acceso a la calculadora?
Cuando el usuario realiza la descarga de estos documentos, estos ejecutan toda la cadena de aplicaciones posterior a la apertura del archivo. Así que mediante esta técnica el atacante podría ejecutar comandos shell sobre equipo victima logrando poder descargar algún otro tipo de malware como puede ser un RAT.
Para mas detalles del Estudio de Nelson les dejo el link: https://posts.specterops.io/the-tale-of-settingcontent-ms-files-f1ea253e4d39
