Продемонстрирован способ установки вредоноса с помощью MSI-файлов

Специалист Sans рассказал об интересном способе доставки вредоносного содержимого посредством файлов MSI. Эксперт ссылается на то, что использование MSI предпочтительнее для киберпреступников по той причине, что они взывают больше доверия.

«За несколько дней я собрал немного образцов вредоносных файлов MSI. Расширение MSI характерно для файлов, связанных с сервисом установщика Microsoft Windows Installer, который является компонентом Windows. С помощью таких файлов злоумышленники могут обходить простые фильтры на основе расширений файлов (реагирующих на расширения com, exe, dll, js, vbs), так как MSI-файлы выглядят менее подозрительными», — пишет специалист.

Эксперт полагает, что злоумышленники используют инструмент MSI Wrapper для создания вредоносных файлов MSI. Содержимое файла MSI можно извлечь с помощью таких инструментов, как 7z. Структура всегда одна и та же, содержит следующее:
!AdminExecuteSequence:                    data!AdvtExecuteSequence:                     data!Binary:                                  data!Component:                               data!CustomAction:                            data!Directory:                               data!Feature:                                 data!FeatureComponents:                       data!InstallExecuteSequence:                  data!Property:                                data!_Columns:                                data!_StringData:                             ASCII text, with very long lines, with no line terminators!_StringPool:                             data!_Tables:                                 dataBinary._D7D112F049BA1A655B5D9A1D0702DEE5: PE32 executable (GUI) Intel 80386, for MS Windows[5]SummaryInformation:                    dataНачинающиеся с восклицательного знака файлы являются таблицами базы данных. Их можно прочитать с помощью основанного на COM API для работы с MSI.
Function GetMSIGenerator(ByVal file)  Const msiOpenDatabaseModeReadOnly = 0  Dim msi, db, view  Set msi = CreateObject(“WindowsInstaller.Installer”)  Set db = msi.OpenDataBase(file, msiOpenDatabaseModeReadOnly)  Set view = db.OpenView(“SELECT `Value` FROM `Property` WHERE `Property` = ‘ProductName'”)  Call view.Execute()  GetMSIGenerator = view.Fetch().StringData(1)End FunctionWScript.Echo(GetMSIGenerator(“sample.msi”)Скрипт возвращает:
PS C:UsersREMMalicious> cscript.exe msi.vbsMicrosoft (R) Windows Script Host Version 5.812Copyright (C) Microsoft Corporation. All rights reserved.Exe to msi converter freeОднако так нелегко обрабатывать полный набор полей базы данных. Для этого исследователь предлагает использовать другой инструмент — Wix. Wix позволяет легко преобразовать MSI-файл в файл XML.
C:UsersREMMalicious> dark.exe -swall -x . sample.msidark.exe : warning DARK1108 : The command line switch ‘swall’ is deprecated. Please use ‘sw’ instead.Windows Installer XML Toolset Decompiler version 3.11.1.2318Copyright (c) .NET Foundation and contributors. All rights reserved.sample.msiПараметр «-x .» указывает, что инструменты должны выгружать двоичные файлы в указанный каталог. Далее создается файл WXS. Это обычный XML-файл, который можно открыть с помощью любимого инструмента. Пример преобразованного файла:
                                                                        0                                                                                Из этого примера увидеть, что вредоносный двоичный файл будет установлен в [WindowsFolder]Temp.
«В принципе, мы можем извлечь интересную информацию из файла MSI без его выполнения. Вот простое правило YARA», — продолжает эксперт:

rule SuspiciousMSIFile{  meta:    author = “Xavier Mertens <[email protected]>”    info = “Search for malicious MSI installing  containing malware”  strings:    $s1 = “Exe to msi converter free”    $s2 = { 54 41 52 47 45 54 44 49 52 30 43 75 73 74 6f 6d 41 63 74 69 6f 6e 53 6f 75 72 63 65 54 61 72 67 65 74 5b 57 69 6e 64 6f 77 73 46 6f 6c 64 65 72 5d 5c 54 65 6d 70 }  condition:    all of them}

Leave a Reply

Your email address will not be published. Required fields are marked *