[+] Plantação de Binários

Descrição

Plantio de binário é um termo geral para um ataque onde o local do ataque (ou seja,
plantas) planta um arquivo binário que contém o código malicioso para um sistema de
arquivos local ou remoto, para que uma aplicação vulnerável para carregar e
executar.
Existem várias maneiras este ataque pode ocorrer:
Permissões de acessos inseguros em um diretório local permitir que um invasor local
possa plantar o binário malicioso em um local confiável. (Um exemplo típico é um
instalador do aplicativo não configurar corretamente as permissões em diretórios
usadospara armazenar os arquivos do aplicativo.)
Uma aplicação pode ser usada para o plantio de um binário malicioso em local
confiável de outro aplicativo. (Um exemplo é o Internet Explorer - a
vulnerabilidade ameaça combinada Safari)
O aplicativo procura por um binário em locais não confiáveis, possivelmente em
sistemas de arquivos remotos. (Um exemplo típico é um aplicativo do Windows
carregar uma biblioteca de vínculo dinâmico a partir do diretório de trabalho atual
depois de este ter sido definido para uma pasta compartilhada de rede.)

Exemplos

Acesso inseguro, ataque baseado em permissões ~

Um instalador de aplicativos do Windows cria um diretório raiz (C: \ Application) e
instala o aplicativo nele, mas não limita o acesso ao diretório para usuários não-
privilegiados escrever.
Suponha que a aplicação (C: \ Application \ App.exe) carrega a biblioteca
WININET.DLL chamando LoadLibrary ("WININET.DLL"). Esta biblioteca deverá ser
encontrado na pasta System32 do Windows.
Usuário Local A planta uma biblioteca WININET.DLL malicioso em C: \ Application
Usuário local B inicia o aplicativo, que carrega e executa o WININET.DLL malicioso
em vez do legítimo.

Ataque baseado Diretório de trabalho atual ~

Suponha que um aplicativo do Windows carrega a biblioteca Dwmapi.dll chamando
LoadLibrary ("Dwmapi.dll"). Esta biblioteca deverá ser encontrado na pasta System32
do Windows, mas só existe no Windows Vista e Windows 7.
Suponha que a aplicação está associada à "bp". Extensão de arquivo.
O atacante cria uma pasta compartilhada de rede e coloca arquivos honeypot.bp e
Dwmapi.dll nesta pasta (possivelmente marcando o último como oculto).
O atacante convida um usuário do Windows XP para visitar a pasta compartilhada com
o Windows Explorer.
Quando o usuário clica duas vezes em honeypot.bp, usuário Windows Explorer define o
diretório de trabalho atual para o compartilhamento remoto e lança o aplicativo
para abrir o arquivo.
O aplicativo tenta carregar Dwmapi.dll, mas não conseguir encontrá-lo nas pastas de
sistema do Windows, ele carrega e executa-lo a partir de compartilhamento de rede
do invasor.

Ataque baseado Diretório de trabalho atual ~

1. Suponha que um aplicativo do Windows carrega a biblioteca Dwmapi.dll chamando
LoadLibrary ("Dwmapi.dll"). Esta biblioteca deverá ser encontrado na pasta System32
do Windows, mas só existe no Windows Vista e Windows 7.
2. Suponha que a aplicação está associada à "bp". Extensão de arquivo.
3. O atacante cria uma pasta compartilhada de rede e coloca arquivos honeypot.bp e
Dwmapi.dll nesta pasta (possivelmente marcando o último como oculto).
4. O atacante convida um usuário do Windows XP para visitar a pasta compartilhada
com o Windows Explorer.
5. Quando o usuário clica duas vezes em honeypot.bp, usuário Windows Explorer
define o diretório de trabalho atual para o compartilhamento remoto e lança o
aplicativo para abrir o arquivo.
6. O aplicativo tenta carregar Dwmapi.dll, mas não conseguir encontrá-lo nas pastas
de sistema do Windows, ele carrega e executa-lo a partir de compartilhamento de
rede do invasor.