setodaNote

忘れる用のメモ書き

2018-07-10 記事まとめ

Windows Settings shortcut files (.SettingContent-ms) について

任意のコマンドをZonID無視で実行できると話題になっていた拡張子「.SettingContent-ms」が OLE package のブロックされる拡張子として登録されたそうです。記事ではこれまでの慣例として Outlook の禁止拡張子にも追加されることになるだろうと書かれていました。

ブロックされる拡張子の一覧は以下から確認できます。 ページの最後の方に記載がありました。
f:id:soji256:20180711225216p:plain

WindowsDefender で検知される場合とされない場合

手元の環境で少し試したところ、電卓を起動する PoC が WindowsDefender に「Trojan:O97M/DPlink.A」として検知されるようになっていました。

ただ、記述の仕方によっては検知されない場合があるようだったので、て少し実験をしてみました。

拡張子は関係なく「.txt」でも保存時に検知されます。 f:id:soji256:20180711230842p:plain:w363 f:id:soji256:20180711231411p:plain:w548

どのような場合に検知されるのか少しパターンを試したところ、正規の使い方である control.exe を呼び出すものだけは検知されず、それ以外の値は空や無効なパスを含めすべて検知されるようでした。DeepLink 要素に対するホワイトリスト的な挙動のようです。

 検知されない:<DeepLink> 
 検知されない:<DeepLink>%windir%\system32\control.exe</DeepLink>
 検知される :<DeepLink>%windir%\system32\control.ex</DeepLink>
 検知される :<DeepLink>%windir%\system32\</DeepLink>
 検知される :<DeepLink>%windir%</DeepLink>
 検知される :<DeepLink></DeepLink>
 検知されない:</DeepLink>

これらは下記の正規のパスにファイルを移動させた場合でも同様でした。

%LOCALAPPDATA%\Packages\windows.immersivecontrolpanel_cw5n1h2txyewy\LocalState\Indexed\Settings\ja-JP\

ただ、いくつか試すなかで手元の環境においては ささいな記述の変更によって ZoneID無視で電卓を起動できる機能はそのままであるにも 関わらずWindowsDefender では検知されないケースがありました。

以下はその時の様子です。

f:id:soji256:20180712005459g:plain

これが実際に悪用可能かは検証できていません。
(2018-08-19 追記:2018-08-14 の WindowsUpdate で動作しなくなりました。)

SettingContent-ms 在ったり無かったり問題

「.SettingContent-ms」は元々は以下のパスに格納されていたようなのですが、手元の環境では LocalState の中身が空でした。

%LOCALAPPDATA%\Packages\windows.immersivecontrolpanel_cw5n1h2txyewy\LocalState\Indexed\Settings\ja-JP\

以下のサイトを参考にすると、Windows 10 のいずれかのバージョンからは新規インストール時に配置されなくなったようです。 私の手元の環境では「AllSystemSettings_{253E530E-387D-4BC2-959D-E6F86122E5F2}.xml」だけは発見できました。

APT Trends Report Q2 2018 - Securelist

https://securelist.com/apt-trends-report-q2-2018/86487/:emdeb
カスペルスキーのレポート。アジア地域を狙ったAPTの動向が取り上げられていました。

  • APT:
    • Lazarus/BlueNoroff
    • Scarcruft/Group123/Reaper
    • DarkHotel
    • LuckyMouse/APT27/Emissary Panda
    • Sofacy/Sandwor/Black Energy
    • WhiteWhale
      etc...
  • Malware
    • TYPEFRAME
    • VPNFilter
    • Olympic Destroyer
      etc...

VPNFilter を始めNW機器を狙った攻撃のことが最後に強調されていました。 高度な攻撃者にとってNW機器はより重要な位置づけになっていると。 VPNFilter で目が覚めたろ、と。

ツイッターで見かけたあまり見かけない形の検体


似たものは昔からあるらしいものの、当時から検知率は低めの様子。

New Microsoft Office Word 2007-2013 exploit (CVE-2015-1641) Analysis