Showing posts with label autoplay. Show all posts
Showing posts with label autoplay. Show all posts

Autoplay and Autorun Exploit Artifacts

Monday, January 10, 2011 Posted by Corey Harrell 0 comments
Artifact Name

Autoplay & Autorun Exploit Artifacts

Attack Vector Category

Exploit

Description

Microsoft stated cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 main purpose of Autorun is "to provide a software response to hardware actions that you start on a computer". The software response is to start media or applications on a computer when a drive is mounted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system. Prior to Windows XP, Windows only had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Autorun feature which would start items based on commands in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorun.inf file located in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive.

With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 release of Windows XP, a new feature called autoplay was included and this feature is enabled by default starting with XP SP2. Autoplay will review a mounted drive for content such as multimedia and will prompt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user to display cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 content using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate application. Autoplay will start to examine a drive as soon as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive is mounted and will parse an autorun.inf file if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 is present.

The Autorun and Autoplay features have been leverage to automatically start malicious software. One example of this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 w32/Autorun.worm.g (McAfee’s detection). According to McAfee’s write-up, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worm spreads using an autorun.inf to automatically start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worm when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 media (removable media or network shares) is connected to a computer.

Attack Description

1. Create an autorun.inf file with a command to launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intended application.

2. Place cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorun.inf in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 root of a drive that will be mounted such as removable media or a network share.

3. Place cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application in a location where it can be executed.

4. Have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive mounted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target computer in order for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorun.inf file to be parsed.

Exploits Tested

Two custom autorun.inf files, one file used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open command while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r file used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shellexecute command. A renamed Windows command prompt was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload of both files.

The open command specifies cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 application to be started when a drive is mounted. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire autorun.inf file with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open command.

The shellexecute command uses file association to determine what application is used to launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file listed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 command. The picture below shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire autorun.inf file with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shellexecute command.

Target System Information

* Two Windows XP SP3 virtual machines using an administrative user account (one VM was used for each autorun.inf)

* Two Windows XP SP3 virtual machines using an administrative user account (one VM was used for each autorun.inf)

* Two Windows XP SP2 virtual machines using an administrative user account (one VM was used for each autorun.inf)

* Two Windows XP SP2 virtual machines using an administrative user account (one VM was used for each autorun.inf)

Different Artifacts based on Administrator Rights

No

Different Artifacts based on Tested Software Versions

No difference between XP SP2 and XP SP3

Potential Artifacts

The potential artifacts include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 changes in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 operating system environment. The artifacts can be grouped in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following two categories:

        * Windows Parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Autorun.inf File
        * Registry Modification When Autoplay Window Closes

Note: The testing to locate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exploit artifacts involved using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Autoplay window in XP SP3 while in XP SP2 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 removable media icon in My Computer was double clicked to launch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload. There were minimal exploit artifacts as compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 artifacts left by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 delivery mechanism (removable media) and payload (Windows command prompt). The identified artifact  filenames and values are inside of brackets in order to distinguish what may be unique to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 testing environment.

        * Windows Parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Autorun.inf File

Windows makes modifications under \Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{GUID}\ registry key of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user account that mounted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive. The modifications are made based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contents of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorun.inf file. The picture below highlights cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relationship between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 commands in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autorun.inf file and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry modifications.


           - Autorun.inf action command altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in MountPoints2\{GUID}\Shell\AutoRun\command\(Default). [data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open command was E:\dmc-test.exe while data for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shellexecute command was C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL dmc-test.exe]

           - Autorun.inf icon command altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in MountPoints2\{GUID}\_Autorun\DefaultIcon\(Default). [data was E:\dmc-test.exe,0]

           - Autorun.inf shell open command altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in MountPoints2\{GUID}\Shell\open\command\(Default). [data was E:\dmc-test.exe]

           - Autorun.inf shell explore command altered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data in MountPoints2\{GUID}\Shell\explore\command\(Default). [data was E:\dmc-test.exe]

           - Data in MountPoints2\{GUID}\Shell\Autoplay\DropTarget\CLSID was modified. [data was {f26a669a-bcbb-4e37-abf9-7325da15f931}]

        * Registry Modification When Autoplay Window Closes

           - The registry key MountPoints2\{GUID} was modified when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 autoplay window closes (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 window closes when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payload is executed).

Timeline View of Potential Artifacts

The image below show cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above artifacts in a timeline of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 registry (system, software, and ntuser.dat hives) from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows XP SP3 with an administrator user account (autorun.inf file with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 open command). A few entries from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file system timeline were added.

References

   Autoplay Information

Microsoft support article on how to disable autorun http://support.microsoft.com/kb/967715

   Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r information

Autorun.inf Wikipedia http://en.wikipedia.org/wiki/Autorun.inf

Autoplay Wikipedia http://en.wikipedia.org/wiki/AutoRun

McAfee W32/Autorun.worm.g AV write-up http://vil.nai.com/vil/content/v_142616.htm