Attackvektorn – det är du!

Oavsett hur man bär sig åt, måste man få offret att köra skadlig kod på sin dator. Det finns flera sätt att göra det. Phishing-brev är väldigt vanliga idag. Nyligen skickade "Postnord" ut ett illa stavat brev där du påstods ha fått ett paket som du måste hämta ut, annars skulle du få en straffavgift.

Klickade mottagaren på knappen för att få fraktsedel, fick denne istället en ZIP-fil, som vid uppackning resulterade i en exe-fil som startade en cryptolocker-attack.

Den som inte har så stora resurser kan använda sig av ett vanligt Word-dokument kryddat med lite makrokod. Makrokod kan exekvera vad som helst, och är lika effektiv som ett vanligt exe-program.

Så här kan ett skadligt dokument se det ut i Word i Office 2013 som exekveras i Windows 8.1, som är den vanligaste kontorsplattformen just nu. Det är lämpligt att man ger dokumentet ett inbjudande namn – varför inte "Säkerhetsrapport"? Den första pilen visar varningstexten, som för det mesta ignoreras och den andra pilen pekar på knappen som mellan 30 och 70 procent av användarna trycker på, beroende av vilken organisation man provar med. Ingenstans har TrueSec sett noll procent. Knappen är liten och vit, när den borde vara stor, röd och blinkande.

Koden som exekveras i Word ser ut så här. Du ser att det är vanlig Visual Basic.

Först kommer några rader med variabeldeklarationer. Exec-raderna startar skriptspråket Powershell och säger i korthet att systemet ska köra en Powershell-process dold för användaren, och använder sig av .Net-funktionen IO.streamreader, som vecklar ut de långa raderna med till synes slumpmässiga tecken, som i själva verket är en sträng med binärkod som läggs direkt i minnet och exekveras. Denna kommer att gå ut till vår fina server MSSECURE och hämta ned Metasploit. Inget konstigt alls.

Det var Word. Där kanske användaren kan klara sig utan makron, men komplexa kalkylark som används på företag är ibland baserade på makron. Utan att aktivera makron kan man inte använda kalkylarket alls.

I större finansiella institutioner där man sätter en central policy för användarnas datorer kan man välja att ta bort frågan om att tillåta makron från Office, eftersom den skulle bli för irriterande för användarna som hanterar dokument med makron hela dagarna. Förlåt... med trojaner, ska det vara.

Godkänner man att makron får köras i Word, räcker det för att datorn ska drabbas av en trojan och koppla upp sig mot attackservern.

Samma sak kan göras med en inbrottsdator, maskerad som ett USB-minne. Förr var Windows konfigurerat så att det alltid exekverade filen AUTORUN om en sådan fanns på en nyinsatt USB-pinne, men det är numera eliminerat. Det kan finnas sårbarheter i själva filsystemet också. I Stuxnet-attacken användes genvägsfiler (.lnk) på minnesstickan som kunde exekvera dold kod.

Bilden visar en liten mikrokontroller, en Arduino-dator med USB-anslutning. Den går att få för under 200 kronor och kan maskeras som en attraktiv USB-produkt, men i själva verket ansluter den sig som ett USB-anslutet tangentbord som öppnar en dold kommandoprompt och snabbt ger ett antal kommandon liknande de i kodexemplet ovan. Det går inte att skydda sig mot ett tangentbord och attacken tar bara en sekund.

Nu är vi tillbaka i attackservern. Oavsett hur trojanen kom in, tar den kontakt med servern. Raden Starting the payload handler minns du från förra bilden. Nu reagerar hanteraren.

Request received anger att en förfrågan har kommit in och Staging connection betyder att överföringen börjar. I och med meddelandet Meterpreter session 1 opened har vi en förbindelse klar till Meterpreter i den attackerade datorn och kan göra i stort sett vad som helst. Det står en blinkande markör längst ned, klar att användas.

Meterpreter lagras inte på hårddisken utan skriptspråket Powershell har lagt in koden i primärminnet. På grund av detta kan programkoden inte upptäckas av ett modernt antivirus-program

Metasploit har en uppsjö olika funktioner. Låt oss prova kommandot HELP.

Man kan dumpa användarens tangenttryckningar, titta på webbkameran, ta skärmdumpar, ja man kan till och med få upp en skärmövervakning i realtid för att se vad användaren gör. Det går också att stjäla filer och i övrigt göra allt som användaren själv kan göra. Skulle användaren dessutom vara inloggad som administratör och ha rätt att installera program på datorn, kan angriparen permanenta sin närvaro i systemet och stjäla olika hemligheter som annars är skyddade av systemet.