几周前,Microsoft安全情报发现了一个攻击者论坛,讨论如何使用恶意ISO文件进行各种恶意软件活动。根据分析,恶意软件活动也开始使用ISO文件,例如Phobos勒索软件、ZLoader、LokiBot和Nanocore。实际上,这些攻击并不是什么新鲜事,因为恶意ISO文件的使用已经存在了很长一段时间。但是,据我所知,还没有研究人员找到任何示例代码。确切地演示了如何成功地将ISO文件武器化,而不是使用关于ISO感染的相当旧的SPTH文件。事实上,这并不奇怪,因为Windows操作系统直到2009年10月22日才提供对虚拟化本身的支持。如果你试图弄清楚如何以编程方式挂载ISO映像,你会非常失望。因为这个StackOverflow答案中显示的代码是错误的。函数调用是准确的,但是,它使最终需要完成的工作过于复杂。无论如何,我不是为bashStackOverflow问题和答案写这篇文章,重点是代码。网上有一些关于如何挂载ISO或VHD映像的误导性信息,所以我希望找到这个问题的真正答案。本文将解释如何正确挂载用于恶意目的的ISO文件。我们的目标是在不建立用户可见路径或分配驱动器号的情况下安装ISO。本文还将简要回顾ISO和VHD/VHDX。需要注意的是,本文不会介绍如何以编程方式生成ISO/VHD映像。实际上可以使用WINAPI以编程方式执行此操作,但这不是我的目标,我想更深入地挖掘一下。此外,本文并未针对不同的防病毒供应商对技术进行基准测试,这只是一个概念证明。与本文相关的代码使用CWINAPI,如果您不熟悉C或WINAPI,可能会感到困惑。另外,我选择C??是因为我不喜欢C#.NET或Python来开发恶意软件。ISO文件、VHD文件和虚拟存储APIISO文件和VHD文件有什么区别?答案是ISO文件镜像光驱的数字副本,例如CD/DVD,而VHD是实际的虚拟硬盘驱动器。两者都可以由Windows操作系统虚拟化和安装,都使用类似的API调用,并且都必须通过Windows虚拟存储API中的相同API进行转发。正如WillDormann在他的卡内基梅隆大学论文“VHD和VHDX文件的危险”中指出的那样,ISO文件在恶意软件活动方面处于更大的劣势。他演示了很多杀毒软件可能无法以编程方式挂载VHD/VHDX文件,尽管它们似乎能够在一定程度上解析ISO映像,但本文不打算深入探讨这个话题。为什么使用ISO文件而不是VHD/VHDX?本文旨在专门解决攻击者使用的方法。与最小大小为2MB的VHD/VHDX文件相比,隐藏ISO映像也容易得多。尽管2MB大小的Windows报告具有误导性,但指定2MB将返回ERROR_INVALID_PARAMETER或下图:指定3MB结果如下:我能够分配的最小VHD文件是一个5MB的GUID分区表(GPT)。相反,如果我们使用一些通用的ISO制造商,在这种特殊情况下我使用MagicISO制造商,可以制作一个小得多的文件:关于不可见性及其与小文件的相关性,与VHD文件相比与ISO文件相比,有很多优势.您可能想知道ISO文件和VHD文件有哪些共同点,因为本文重点介绍ISO文件安装。ISO文件和VHD/VHDX文件都使用相同的虚拟存储API。此外,乍一看,虚拟存储API文档中甚至没有提到ISO文件,直到您开始阅读有关通过AttachVirtualDisk挂载虚拟磁盘映像的信息:附加虚拟硬盘(VHD)或CD或DVD。镜像文件(ISO),通过寻找合适的VHD提供者来完成附件,此时你可以理解ISO文件和VHD在它们的API遗漏中可以互换使用。OpenVirtualDisk的调用定义如下:第一个参数VirtualStorageType必须是指向VIRTUAL_STORAGE_TYPE结构的有效指针,其定义为:成员DeviceId必须设置为VIRTUAL_STORAGE_TYPE_DEVICE_ISO。此外,VendorId必须设置为VIRTUAL_STORAGE_TYPE_VENDOR_MICROSOFT。如果成功完成,那么其他所有内容实际上都与VHD/VHDX文件相同。代码我的概念验证包含许多常规编程,例如验证我们是否在Windows10上运行、获取ISO文件的放置位置以及确保我们拥有适当的权限。以下是代码的功能概述:1.获取PEB以确保我们的代码在Windows10上运行。2.使用USERPROFILE变量调用GetEnvironmentVariable以获取当前用户。3.如果GetEnvironmentVariable调用成功,连接到“\\Desktop\\Demo.iso”。4.检查我们的安全令牌,如果我们没有SeManageVolumePrivilege,请进行以下请求。5.使用正确初始化的VIRTUAL_STORAGE_TYPE结构调用OpenVirtualDisk。6.调用AttachVirtualDisk,设置ATTACH_VIRTUAL_DISK_FLAG为ATTACH_VIRTUAL_DISK_FLAG_READ_ONLY和ATTACH_VIRTUAL_DISK_FLAG_NO_DRIVE_LETTER。7.GetVirtualDiskPhysicalPath将检索到我们安装的ISO的物理路径。8.如果GetVirtualDiskPhysicalPath调用成功,连接到“\\Demo.exe”。9.调用CreateProcess。10.确保成功或失败后,关闭所有句柄和堆,然后退出。本文翻译自:https://vxug.fakedoma.in/papers/VXUG/Exclusive/WeaponizingWindowsVirtualization.pdf如有转载请注明原文地址。
