Kotlin

侵入者の観点から見たWindowsのMark-of-the-Web(MOTW)セキュリティ機能



Mark Web Security Features Windows From Perspective Infiltrator



MOTWは、The Mark of theWebの英語の略語です。 MOTWは、Windows Internet Explorerが、IEブラウザに安全な場所に保存されているWebページを参照させるためのメカニズムです。目的はセキュリティを強化することです。 MOTWは、HTMLWebページにタグとして追加されるコメントです。ユーザーがローカルに保存されているHTMLドキュメントを開くと、IEブラウザーはこのコメントを読み取って、安全な領域にあるかどうかを判断します。効果的なMOTWの例を次に示します。

その中で、(0025)の値は彼の後ろの文字列の長さであり、sagerkingはインターネットWebサイトの名前です。ブラウザがこの保存されたhtmlを開くと、IEは「URLから保存」コメントを探し、URLに適した領域を使用してWebページに適用するセキュリティポリシーを決定します。

 
 
Microsoft Internet Explorer 6と比較して、MOTWはより強力です。あなたがウェブサイトの開発をしているとき、MOTWはあなたが安全なエリアであなたのHTMLドキュメントをテストすることを可能にします、この安全なエリアはあなたによって指定されます。たとえば、FlashスクリプトのActionScriptはWebページで呼び出す必要があります。安全な場所にない場合、これらのスクリプトは無効になり、プログラムを正常に開くことができません。このとき、安全なエリアを追加する必要があります。
 
ただし、侵入テスターに​​とって、MOTWは、特に最初の攻撃の足がかりを得ようとするときに、主要なテストの障害になる可能性があります。
 
 
 
ファイルがインターネットからのダウンロード用にマークされている場合、ペイロードは実行可能ファイル、MS Officeファイル、またはCHMファイルの形式である可能性があるため、これらのファイルはWindowsオペレーティングシステムおよびセキュリティ製品による追加のレビューの対象となる可能性があります。この記事では、メカニズムがどのように機能するかを説明し、MOTWを回避またはバイパスするのに役立つ攻撃手法を探ります。
 
この記事で説明されているテクノロジーは新しいテクノロジーではないことに注意してください。これらのテクノロジーは、実際に攻撃者によって使用されています。したがって、この記事は、これらのテクノロジーについての理解を深めることを目的としています。
 
以前は、保存されたWebページの先頭に追加することでMOTWが追加されていました。
 
 
 
このメカニズムは、後でセキュリティ担当者によってHTML以外のファイルタイプに拡張されました。 Chige これは、ダウンロードしたファイルの代替データストリーム(ADS)を作成することで実現されます。 ADSは、Windows3.1以降に追加されたNTFSファイルシステム機能です。この関数を使用すると、複数のデータストリームを「filename:streamname」の形式でファイル名に関連付けることができます。
 
ファイルをダウンロードすると、Internet ExplorerはZone.IdentifierというADSを作成し、ZoneIdをストリームに追加して、ファイルの発信元のゾーンを示します。正式な名前ではありませんが、多くの人がこの機能をWebマークアップと呼んでいます。
 
PowerShellを使用して代替データストリームを一覧表示および表示するのは簡単です  次のスクリーンショットに示すように、Get-ItemコマンドレットとGet-Contentコマンドレットの両方に「Stream」パラメーターがあります。
 
 Windows Mark-of-the-Web(MOTW)
 
次のZoneId値をZone.IdentifierADSで使用できます。
 
  0.ローカルコンピューター
 
  1.ローカルイントラネット
 
  2.信頼できるサイト
 
  3.インターネット
 
  4.制限された場所
 
現在、Windowsプラットフォームで添付ファイルの処理やファイルのダウンロードに使用されるすべての主要なソフトウェアは、Internet Explorer、Edge、Outlook、Chrome、FireFoxなどを含むZone.Identifier ADSを生成します。これらのプログラムはこのADSをどのように記述しますか? ADSを直接作成するか、システムのIAttachmentExecuteインターフェイスを介して。システムのIAttachmentExecuteインターフェイスを介して実現される動作は、添付ファイルマネージャのSaveZoneInformation属性によって制御できます。
 
Windows 10 IAttachmentExecuteインターフェイスの実装により、URL情報もZone.IdentifierADSに追加されることに注意してください。
 
 Windows Mark-of-the-Web(MOTW)
 
侵入テスターの場合、HTML密輸技術を使用するときにもMOTWが設定されることに注意してください(上のスクリーンショットの「blob」キーワードに注意してください。これは潜在的なHTML密輸の指標です)。
 
 MOTWのセキュリティの役割 
 
Windows、MS Office、およびその他のさまざまなプログラムは、リージョン識別子のバックアップデータストリームからの情報を使用して、ダウンロードされたファイルのセキュリティ機能をトリガーします。浸透テスターの観点から、以下が最も注目に値します(このリストは完全にはほど遠いことに注意してください、私はそれらのいくつかだけをリストしました)。
 
 Windows Defender SmartScreen 
 
Windows 10オペレーティングシステムでは、プログラムをインストールすると、Windows Defender SmartScreenが警告ウィンドウをポップアップします。警告の内容は次のとおりです。WindowsDefenderSmartScreenは、認識されないアプリケーションの起動をブロックしました。このアプリケーションを実行すると、コンピュータにセキュリティリスクが発生する可能性があります。
 
さらに、この機能は、ダウンロードされた実行可能ファイル(エリア識別子ADSに基づく)を、多くのWindowsユーザーが知っていてダウンロードしているファイルのホワイトリストと照合することで機能します。ファイルがリストにない場合、Windows DefenderSmartScreenは次の警告を表示します  
 
 Windows Mark-of-the-Web(MOTW)
 
 MSOfficeで保護されたビュー 
 
保護されたビューのサンドボックスは、インターネットまたはその他の危険な領域からのファイルの潜在的なリスクからMSOfficeユーザーを保護しようとします。デフォルトでは、MOTWでマークされたほとんどのMSOfficeファイルタイプがこのサンドボックスで開かれます。多くのユーザーは、この機能がMSOfficeの有名な黄色のバーで[編集を有効にする]ボタンがあることを知っています。
 
 Windows Mark-of-the-Web(MOTW)
 
数年前、MWR(現在はF-Secureラボ)がこのサンドボックスに関する記事を公開しました 技術記事 。一部のMSOfficeファイルの種類は、保護されたビューのサンドボックスに読み込めないことに注意してください。SYLKファイル形式はよく知られた例です。
 
 SYLKファイル形式とは何ですか? 
 
SYLKファイル形式は1980年代に開発されたファイル形式であり、最新のMSOfficeバージョンは引き続きこの形式をサポートしています。このファイル形式は、武器化されたドキュメントを作成するための適切な選択であり、攻撃者はこれらのファイルを使用して最初の足掛かりを確立することができます。通常、SYLKファイルのファイル拡張子は.slkです。 SYLKは、表示可能なANSI文字のみを使用するファイル形式です。スプレッドシートやデータベースなどのアプリケーション間でデータを交換するために作成されました。
 
このファイル形式は今日ではめったに使用されず、関連するドキュメントが不足しています。ウィキペディアには、SYLKに関する限られた情報があります。おそらく、入手可能な最良のドキュメントは、Microsoftによって作成され、1986年に最後に更新されたファイルsylksum.docです。
 
古いファイル形式にもかかわらず、デフォルトでは、ファイル拡張子.slkは最新のMS Officeバージョン(2010、2013、および2016で確認済み)のExcelにマップされています。 SYLKの機能はDDE攻撃を超えていることがわかりました。特に、悪意のあるマクロもこのファイルタイプに埋め込まれている可能性があります。
 
SYLK形式が攻撃者を引き付ける重要な理由は、保護されたビューのサンドボックスがこのファイル形式に適していないことです。これは、武器化されたSYLKファイルが電子メールまたはWebを介して拡散され、「ネットワークマーク」ロゴが適用されている場合、ターゲットユーザーがこの警告メッセージに煩わされることはないことを意味します。
 
 インターネットからダウンロードしたMSOfficeブロックマクロ 
 
この機能はOffice2016で導入され、後でOffice 2013に移植されました。この設定を有効にすると、MOTWでマークされたMS Officeファイルのマクロが無効になり、ユーザーに警告メッセージが表示されます。
 
 Windows Mark-of-the-Web(MOTW)
 
ユーザーはこの警告メッセージに間違いなく気付くでしょう。これは、大規模なマクロベースのマルウェアに対する非常に効果的な対策になります。
 
 VisualStudioプロジェクトファイル 
 
信頼できないVisualStudioプロジェクトファイルを開くのは危険な場合があります。理由については、を参照してください Nullcon Goa 2020 前ページのスピーチ。デフォルトでは  Visual Studioは、MOTWプロパティが設定されているプロジェクトファイルに対して警告メッセージを表示します。
 
 Windows Mark-of-the-Web(MOTW)
 
 Windows Defender Application Guard for Office 
 
セキュリティに注意を払っているGoogleChromeおよびMozillaFirefoxユーザー向けに、Microsoftは2019年に新しいブラウザ拡張機能であるWindows Defender ApplicationGuardをリリースしました。 2つの一般的なブラウザー用のWDAGは、Microsoft Edgeと同じハードウェア分離テクノロジを提供します。これにより、ユーザーが信頼できないWebサイトにアクセスすると、分離されたEdgeセッションにユーザーが自動的にリダイレクトされます。拡張機能がインストールされた後、ユーザーはブラウザーの拡張機能アイコンをクリックしてWindowsDefender ApplicationGuardを開くことができます。分離されたブラウザセッションでは、ユーザーは企業によって信頼されていると明確に定義されていないサイトに自由に移動でき、このモードでのアクセスはシステムの他の部分に影響を与えません。今後の動的切り替え機能と組み合わせて、ユーザーが隔離されたセッションで信頼できる企業Webサイトにアクセスしようとすると、ユーザーはデフォルトのブラウザーに切り替えられます。
 
さらに、Windows Defender Application Guardは、オペレーティングシステムを保護するために、(Application Guardテクノロジに基づく)小さな仮想マシンのMSOfficeファイルに埋め込まれた潜在的に悪意のあるマクロを実行できます。
 
利用可能な限られたドキュメントに基づいて、VMでドキュメントを実行する決定はMOTWに基づいています。残念ながら、私はまだこの技術を使用していないので、テストを通じて実際の有効性を確認することはできません。
 
 MOTWをバイパスするための戦略 
 
ペネトレーションテストの観点から、MOTWをバイパスするために2つの戦略を使用できます。現在、私たちが実際に観察しているすべての技術は、次の2つのカテゴリに分類できます。
 
1. MOTWが設定されていないソフトウェアの誤用:エリア識別子情報を設定または伝達しないソフトウェアによって処理されたファイル形式でペイロードを配布します。
 
2.コンテナ形式の乱用:ペイロードは、NTFSバックアップデータストリーム機能をサポートしないコンテナ形式で伝播されます。
 
もちろん、3番目の戦略があります。MOTW属性を削除するためのユーザーのソーシャルエンジニアリング変換です(ファイルを右クリック->プロパティ->ブロック解除)。ただし、このトピックはこの記事の範囲を超えているため、ここでは詳しく説明しません。セキュリティチームの場合、技術的な観点から、グループポリシーを介してHideZoneInfoOnPropertiesを設定し、エンドユーザーがこの操作を実行できないようにすることができます。
 
それでは、MOTWをバイパスするための2つの技術戦略を詳しく見てみましょう。
 
 戦略1:MOTWを使用せずにソフトウェアを悪用する 
 
最初の戦略は、エリア識別子情報を設定または伝播しないソフトウェアによって処理されるファイル形式でペイロードを伝播します。 Gitクライアントは良い例です。以下の画像は、Zone.IdentifierADSなしでGitクライアントを使用してGitHubからコピーされたファイルを示しています。
 
 Windows Mark-of-the-Web(MOTW)
 
開発者を対象とする侵入テストチームの場合、Gitを介してペイロードをロードすることは、MOTWをバイパスするのに適している場合があります。これは、VisualStudioを対象とするペイロードに特に関係があります。
 
Zone.IdentifierADSのないソフトウェアのもう1つのよく知られた例は7Zipです。 GUIからファイルをダブルクリックすると、このアーカイブクライアントはMOTWロゴのみを設定します。これは、ファイルが一時ディレクトリに抽出され、そこから開かれることを意味します。ただし、ファイルを別の場所に手動で抽出した後(つまり、ダブルクリックする代わりに抽出ボタンをクリックした後)、7Zipは抽出されたファイルのZone.IdentifierADSを伝播しません。この方法はアーカイブファイルの形式に関係なく機能し、7zipで処理される拡張子(7z、zip、rarなど)がこの動作を証明することに注意してください。
 
以下のSourceForgeに関する議論に見られるように、これは7Zipリード開発者による意識的な設計決定のようです。詳細については、次のURLを参照してください。 ここに 現れる。
 
特に、7Zipを使用して潜在的に危険なファイルを抽出することはお勧めしません。7Zipは「奇妙な」セキュリティ決定(ASLRの欠如など)を行うことで知られている製品だからです。
 
 戦略2:コンテナ形式の乱用 
 
代替データフローがNTFS機能であることを覚えていますか?これは、他のファイルシステム(FAT32など)でエリア識別子ADSを作成できないことを意味します。攻撃者は、ペイロードをファイルシステムコンテナ(ISOやVHD(X)など)に埋め込むことで、この動作を悪用できます。
 
Windowsエクスプローラーを使用してこのようなコンテナーを開くと、外部コンテナーのMOTWはコンテナー内のファイルに伝達されません。以下のスクリーンショットはこれを確認しています。ダウンロードされたISOにはMOTWマークが付いていますが、ISO内のペイロードにはマークが付いていません。
 
 Windows Mark-of-the-Web(MOTW)
 
ISO形式でペイロードを送信することは、一般的な回避手法であることに注意してください。たとえば、TA505は、この手法を悪用する有名な攻撃者です。
 
 緩和策 
 
まず、多くの攻撃者がこの記事で説明されている手法を使用しないため、一般的に使用されるいくつかのセキュリティ対策が適切な緩和策になる可能性があります。特に、インターネットからダウンロードしたファイルのマクロを防止するための対策を強く支持します。これは、MS Office2013以降のバージョンで使用できます。
 
次に、この記事で説明するテクノロジは、非常に重要なセキュリティ対策である多層防御を導入します。セキュリティ防止戦略(この場合はMOTW)を設計するときは、単一​​の予防的環境をとらないでください。
 
攻撃者がMOTWをバイパスしようとした場合、他にどのような対策を講じることができますか?たとえば、組織で実行可能な場合は、メールフィルターとプロキシでコンテナー形式をブロックします。さらに、ASRルールの使用など、MOTWに依存する手段をバイパスする可能性のある悪意のあるファイルの影響を制限します。 ASRは、攻撃対象領域削減の略語であり、攻撃対象領域削減ルールを構成することにより、マルウェアやコードによる攻撃からコンピューターを保護します。