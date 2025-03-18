Windows Defender Application Control (WDAC) adalah solusi keamanan yang hanya mengizinkan eksekusi perangkat lunak tepercaya. Karena solusi ini diklasifikasikan sebagai batas keamanan, Microsoft menawarkan hadiah bagi penemu bug untuk pembobolan yang memenuhi syarat, yang menjadikannya bidang penelitian yang aktif dan kompetitif.
Hasil dari pengiriman laporan hadiah bug bypass WDAC biasanya adalah:
Melihat daftar blokir yang direkomendasikan WDAC Microsoft, kita melihat legenda seperti Jimmy Bayne (@bohops) dan Casey Smith (@subTee) telah menemukan bypass WDAC yang tetap tidak diperbaiki tetapi telah diberi sebutan kehormatan. Melihat di luar daftar ini, Proyek LOLBAS berisi bypass tambahan yang tidak diperbaiki yang belum diakui dalam daftar blokir Microsoft. Salah satu contohnya adalah aplikasi Microsoft Teams, yang tetap menjadi bypass WDAC yang layak meskipun didokumentasikan di LOLBAS.
Saat menghadapi WDAC selama Operasi Red Team, kami berhasil melewatinya dan menjalankan muatan Perintah dan Kontrol (C2) Stage 2 kami menggunakan teknik berikut:
1. Gunakan LOLBIN yang dikenal seperti MSBuild.exe
2. DLL memuat aplikasi tepercaya dengan DLL yang tidak tepercaya
3. Mengeksploitasi aturan pengecualian khusus dari kebijakan WDAC klien
4. Temukan rantai eksekusi baru dalam aplikasi tepercaya yang memungkinkan penerapan C2
Seperti yang dijelaskan Ruben Boonen (@FuzzySec) dalam presentasi di Wild West Hackin' Fest Statikk Shiv: Leveraging Electron Applications for Post-Exploitation, aplikasi Electron berfungsi sebagai browser web yang merender aplikasi desktop menggunakan teknologi web standar seperti HTML, JavaScript, dan CSS. Mesin JavaScript di Electron adalah Node.js, yang menyediakan API canggih yang mampu berinteraksi dengan sistem operasi host. API ini memungkinkan tindakan seperti membaca dan menulis file, menjalankan program, dan operasi lain yang khas dari aplikasi native.
Saat waktu proses, aplikasi Electron membaca file JavaScript, menafsirkan kode mereka dan mengeksekusinya dalam proses Electron. Animasi di bawah ini menunjukkan bagaimana aplikasi Microsoft Teams Electron membaca file JavaScript pada waktu proses, yang kemudian menggunakan modul child_process untuk menjalankan whoami.exe.
Dalam contoh ini, proses Teams Electron membaca file JavaScript, yang kemudian memunculkan whoami.exe menggunakan modul child_process. Modul ini memicu proses Electron untuk menjalankan API uv_spawn yang diekspor, bertanggung jawab untuk berinteraksi dengan sistem operasi untuk membuat proses baru.
Arsitektur tradisional aplikasi Windows terdiri dari:
EXE memanggil fungsi yang diekspor dari DLL untuk memperluas kemampuan. Namun, aplikasi Elektron membalikkan arsitektur ini. Alih-alih EXE memanggil API dari DLL, Electron EXE itu sendiri mengekspos ekspor API, yang dipanggil oleh:
Struktur ini memungkinkan modul Node.js JavaScript dan Node berinteraksi dengan sistem operasi dengan cara yang tidak dapat dilakukan JavaScript tradisional di browser.
Pada gambar di bawah ini kita memeriksa aplikasi Teams Electron menggunakan PE Bear, alat luar biasa yang dibuat oleh @hasherezade, yang mengungkapkan bahwa executable Teams Electron berisi 2.977 API yang diekspor. Permukaan API besar ini menyediakan fungsionalitas ekstensif yang dapat dimanfaatkan oleh file Node.js dan modul node untuk berinteraksi dengan sistem operasi.
Karena aplikasi Electron mengeksekusi JavaScript pada waktu proses, memodifikasi file JavaScript ini memungkinkan penyerang untuk menyuntikkan kode Node.js ke dalam proses Electron. Dengan memanfaatkan API Node.js dan Chromium, kode JavaScript dapat berinteraksi dengan sistem operasi.
Kemampuan untuk memodifikasi berkas JavaScript dari aplikasi Electron tepercaya agar dapat menjalankan kode JavaScript Node.js secara arbitrer bukanlah sesuatu yang saya temukan. Referensi paling awal yang dapat saya temukan berasal dari tahun 2022.
Pada awal tahun 2022, Andrew Kisliakov menerbitkan blog “Microsoft Teams and other Electron Apps as LOLbins”. Andrew dan @mrd0x menyumbangkan temuan mereka ke proyek LOLBAS.
Kemudian pada tahun 2022, Valentina Palmiotti (@chompie1337), Ellis Springe (@knavesec), dan Ruben mengeksplorasi lebih lanjut pendekatan ini, yang dilanjutkan dengan pengembangan alat persistensi internal yang sejak itu digunakan dalam operasi tim merah.
Juga pada tahun 2022, Michael Taggart merilis proyek quASAR, sebuah alat yang dirancang untuk memodifikasi aplikasi Electron untuk memungkinkan eksekusi perintah. Dalam blognya “Quasar: Compromising Electron Apps”, dia mengatakan bahwa pada September 2022, seorang anggota proyek Electron menghubunginya, menyatakan bahwa pemeriksaan integritas adalah fitur eksperimental dan diharapkan akan didukung penuh di masa depan.
Dari bereksperimen secara pribadi dengan aplikasi Electron yang lebih baru seperti Signal, saya telah mengonfirmasi bahwa pemeriksaan integritas sekarang dilakukan untuk beberapa aplikasi Electron yang mencegah file JavaScript aplikasi tersebut dimodifikasi. Namun, banyak aplikasi Electron yang didistribusikan secara aktif tetap rentan.
Teknik ini juga telah diamati dalam serangan dunia nyata. Pada tahun 2022, aktor ancaman melakukan backdooring terhadap aplikasi chatting MiMi dengan memodifikasi file JavaScript yang dibundel di server distribusi. Trend Micro mengidentifikasi ini sebagai serangan rantai pasokan, di mana aplikasi Electron yang dikompromikan didistribusikan ke pengguna akhir, memungkinkan eksekusi kode JavaScript berbahaya yang mengunduh dan mengeksekusi muatan C2 tahap kedua.
Pada bulan April 2024, I Bobby Cooke (@0xBoku) sedang mencari rantai eksekusi baru untuk digunakan dalam persiapan Operasi Red Team yang akan datang untuk klien di sektor keuangan. Sektor ini memiliki standar keamanan yang lebih tinggi dan peraturan yang lebih ketat, sering menerapkan kontrol keamanan tambahan seperti WDAC. Selama riset saya, saya menemukan aplikasi Electron lain yang rentan. Namun, karena aplikasi tersebut tidak ditandatangani oleh Microsoft, kecil kemungkinan aplikasi itu dapat melewati kebijakan WDAC milik klien.
Saya kemudian beralih ke aplikasi Microsoft Teams lama, yang ditandatangani oleh Microsoft dan dapat melewati kebijakan WDAC yang paling ketat sekalipun. Pada titik ini, Dylan Tran (@d_tranman) bergabung dengan saya dalam pencarian ini, dan kami mulai mencari cara untuk meningkatkan dari eksekusi JavaScript Node.js arbitrer ke eksekusi shellcode C2 tahap 2 kami.
Sementara Node.js dapat berinteraksi dengan sistem operasi melalui API-nya, ia tidak memiliki fungsionalitas penuh C, di mana pengembang dapat langsung memanggil WinAPI dan NTAPI. Untuk menjembatani kesenjangan ini, pengembang membuat modul Node, yang memperluas kemampuan kerangka kerja Node.js. Modul-modul ini, dikompilasi dari kode C ++, dapat memanggil WinAPI, berinteraksi dengan API Node.js dan menjalankan JavaScript dalam aplikasi Electron. Modul Node yang dikompilasi memiliki .node ekstensi dan dimuat ke dalam proses Windows melalui peristiwa pemuatan DLL.
Selama riset kami, kami memeriksa beberapa aplikasi Electron dan menganalisis modul node yang ditandatangani. Kami menemukan bahwa modul-modul ini dapat berinteraksi langsung dari JavaScript, memungkinkan kami untuk memanfaatkan kemampuan bawaan modul tersebut.
Meskipun membuat modul Node khusus kami sendiri untuk mengeksekusi shellcode adalah pendekatan yang layak dan merupakan kemampuan Loki C2, tindakan ini menghadirkan masalah mana yang terjadi terlebih dahulu. Memuat modul Node dari JavaScript memicu peristiwa pemuatan DLL, yang dapat diblokir oleh kebijakan WDAC yang memberlakukan aturan ketat terhadap DLL yang tidak ditandatangani. Untungnya, sejumlah besar modul Node yang ditandatangani ada di seluruh aplikasi Electron yang sah.
Pendekatan untuk mengeksekusi muatan kami tampak menjanjikan, jadi kami membagikan temuan kami dengan Valentina dan dia bergabung dengan kami dalam pencarian ini. Dengan bantuannya, kami terjun lebih dalam untuk membalikkan modul Node yang ditandatangani, mencari kerentanan atau kemampuan bawaan yang memungkinkan kami mengeksekusi shellcode sewenang-wenang.
Salah satu contoh modul Node dengan kemampuan yang berguna adalah windows_process_tree.node, modul yang ditandatangani Microsoft yang dibundel dengan Visual Studio Code. Ketika diperiksa di PE Bear, itu mengungkapkan dua fungsi yang diekspor, seperti yang terlihat di bawah ini.
Tidak seperti DLL tradisional, modul Node tidak mencantumkan semua fungsi yang tersedia di tabel ekspor. Fungsi ekspor napi_register_module_v1 dipanggil oleh proses Elektron dan bertanggung jawab untuk memuat modul dan mengekspos fungsionalitas yang diekspor ke proses Elektron. Ini bertindak sebagai jembatan, memungkinkan JavaScript dalam proses Electron untuk memanggil dan berinteraksi dengan fungsi modul.
Cara sepele untuk membuat daftar semua fungsi yang dapat dipanggil dalam modul Node adalah dengan memanfaatkan kode Node.js di bawah ini.
Menjalankan skrip Node.js ini di PowerShell, kita melihat ada dua fungsi yang dapat dipanggil di windows_process_tree.node. Keduanya adalah getProcessList dan getProcessCpuUsage.
Dengan ketekunan, dimungkinkan untuk menentukan cara memanggil fungsi-fungsi ini dari JavaScript. Salah satu batasan Node.js adalah tidak memiliki API bawaan untuk mencantumkan semua proses yang berjalan di sistem. Keterbatasan ini adalah mengapa Microsoft memperkenalkan fungsi getProcessList dalam modul ini, memperluas kemampuan aplikasi VS Code Electron.
Dimungkinkan untuk mengambil informasi ini langsung di JavaScript dengan menggunakan modul child_process untuk mengeksekusi PowerShell dalam proses turunan, yang mengembalikan detail tentang proses yang sedang berjalan. Pada gambar di bawah ini, Loki C2 memunculkan proses anak PowerShell untuk mengambil daftar proses.
Pendekatan ini menghadirkan risiko keamanan operasional yang signifikan. Menjalankan proses anak PowerShell sangat terdeteksi dan meningkatkan kemungkinan operasi ditandai atau dibakar. Untuk menghindari hal ini, Loki C2 memanfaatkan modul Node yang ditandatangani seperti windows_process_ tree.node untuk memperluas kemampuan Node.js.
Loki C2 menyertakan perintah ps, yang mengambil informasi proses dengan memuat di modul windows_process_tree.node yang ditandatangani Microsoft dan memanggil fungsi getProcessList, seperti yang terlihat pada gambar di bawah ini.
Kode JavaScript Loki C2 yang memanggil fungsi getProcessList dalam modul windows_process_tree.node ditunjukkan di bawah ini. GetProcessList mengembalikan data proses dalam format JSON, yang diformat Loki C2 menjadi tabel terstruktur untuk meningkatkan keterbacaan.
Menentukan cara memanggil fungsi dengan benar dalam modul Node dapat menjadi tantangan karena struktur internalnya tidak didokumentasikan. Namun, dengan menggunakan alat seperti Ghidra, yang dikembangkan oleh NSA, dan berkolaborasi dengan reverse engineer yang terampil seperti Valentina, kami telah berhasil menganalisis modul-modul ini dan mengidentifikasi cara berinteraksi dengan fungsinya.
Valentina akhirnya menemukan cara untuk menjalankan shellcode C2 Stage 2 kami tanpa memuat DLL yang tidak ditandatangani, tetapi saya akan menyerahkannya kepadanya untuk mengungkapkan detailnya. Bersama-sama, Dylan, Valentina dan saya bekerja menyempurnakan teknik untuk memastikan stabilitas untuk kampanye phishing yang akan datang.
Sayangnya, kampanye phishing email awal kami dilaporkan dan diblokir oleh Blue Team. Setelah kemunduran ini, Brett Hawkins (@h4wkst3r) dan saya mulai mempersiapkan diri untuk kampanye kedua. Sebagai orang muatan yang ditunjuk, saya tidak ingin menggunakan kembali muatan yang sama—melakukannya akan membuatnya terlalu mudah bagi Blue Team untuk melacak kami dan menghentikan kampanye kedua kami. Namun, kami tidak punya cukup waktu untuk menerapkan teknik Valentina ke muatan baru, jadi saya mulai mengembangkan muatan baru menggunakan pendekatan alternatif.
Biasanya, kemampuan untuk mengeksekusi JavaScript arbitrer dalam aplikasi tepercaya digunakan untuk menjalankan perintah yang menerapkan agen C2. Namun, tanpa teknik Valentina, pendekatan ini akan gagal melawan WDAC, karena pada akhirnya akan membutuhkan eksekusi program yang tidak ditandatangani, yang kemungkinan akan diblokir.
Dengan hanya beberapa hari untuk mempersiapkan kampanye kedua, saya berpikir: Bagaimana jika saya membangun seluruh kerangka kerja C2 dalam JavaScript?
Jika agen C2 itu sendiri sepenuhnya ditulis dalam JavaScript, itu dapat membuat saluran C2 bahkan melawan kebijakan WDAC yang paling ketat. Dari sana, pengintaian dapat dilakukan untuk menemukan cara untuk menerapkan muatan C2 tahap 2. Tidak akan ada peristiwa pemuatan DLL yang tidak ditandatangani—hanya JavaScript yang dieksekusi dalam proses Teams tepercaya.
Yang kami butuhkan hanyalah fungsionalitas yang cukup untuk:
Memanfaatkan semua kode Node.js yang saya tulis selama penelitian saya, saya mengumpulkan bukti konsep C2 dalam semalam. Keesokan harinya, saya membagikannya dengan Dylan, dan bersama-sama, kami dengan cepat mengembangkannya menjadi C2 berbasis JavaScript yang berfungsi penuh. C2 kami mampu:
JavaScript C2, sekarang dikenal sebagai Loki C2, sukses di kampanye kedua. Sejak itu, kami terus menyempurnakan dan memperluas Loki C2, menambahkan lebih banyak fitur, meningkatkan stabilitas, dan meningkatkan kemampuan.
Dengan semua pengetahuan Electron yang saya peroleh dari penelitian ini, saya membangun antarmuka pengguna grafis untuk Loki C2 menggunakan kerangka kerja Electron.
Dalam video di bawah ini, saya menunjukkan melewati kebijakan WDAC yang ketat dengan Loki C2. Dua bagian di bawah ini menjelaskan apa yang terjadi dalam video.
Untuk demo ini, WDAC diterapkan melalui aplikasi Wizard App Control Policy pada instance Windows Server 2025 EC2 terbaru di AWS. Wizard tersebut menyediakan tiga templat kebijakan dasar:
Mode Windows Default adalah yang paling ketat, memungkinkan eksekusi:
Dalam demo, kebijakan Mode Windows Default dipilih. Mode Audit default dinonaktifkan sehingga WDAC segera memberlakukan kebijakan. Selain itu, opsi Gabungkan dengan daftar blokir yang direkomendasikan diperiksa yang mencakup aturan dalam Daftar Blok WDAC yang Direkomendasikan Microsoft. Aplikasi Control Wizard menghasilkan file XML dan CIP untuk kebijakan WDAC, yang kemudian diterapkan ke server menggunakan CITool.exe.
Setelah WDAC aktif, saya mencoba mengeksekusi Loki C2 Agent.exe, tetapi WDAC memblokirnya, karena file executable tidak ditandatangani oleh Microsoft.
Untuk melewati batasan ini, saya menyalin isi direktori /resources/app/ Loki Agent. Folder bernama "teams" ada di desktop, berisi aplikasi Microsoft Teams lama yang sah. Melihat properti Teams.exe mengonfirmasi bahwa itu ditandatangani oleh Microsoft.
Saya kemudian menavigasi ke direktori/resources/ dari aplikasi Teams dan menghapus semua file yang ada. Setelah dibersihkan, saya menempelkan direktori Loki C2 Agent /resources/app/ ke dalam ~/Desktop/teams/resources/app/ yang disalin sebelumnya.
Dengan modifikasi ini, saya menjalankan Teams.exe dengan mengkliknya. Karena eksekusi Teams ditandatangani oleh Microsoft, WDAC tidak memblokirnya. Di System Informer, kita dapat melihat proses Teams dibuat dengan sukses tanpa intervensi WDAC. Namun, karena saya mengganti direktori Teams /resources/app/ dengan kode Loki C2 Agent, aplikasi Teams berbasis Electron sekarang mengeksekusi JavaScript Loki C2 Agent di dalam proses Teams tepercaya.
Proses Tim berhasil memanggil kembali ke klien Loki C2, dan saya menjalankan beberapa perintah untuk menunjukkan kendali jarak jauh dari server yang dikompromikan.
Setelah mendapatkan akses awal dengan Loki C2, kami telah mengidentifikasi beberapa cara untuk mengeksekusi agen Stage 2 C2 yang lebih mumpuni, seperti Dragon, C2 internal yang dikembangkan oleh Shawn Jones (@anthemtotheego) dan saya. Meskipun semua metode eskalasi berbeda yang kami temukan sejak pembuatan awal Loki C2 tidak akan diungkapkan dalam posting ini, kami berencana untuk membahasnya di rilis mendatang.
Ketika diterapkan dengan benar, teknik ini terus melewati solusi Deteksi & Respons Titik Akhir (EDR) tingkat atas. Namun, tanpa Tahap 2 C2 yang disamarkan, operator harus mengandalkan eksekusi perintah melalui spawn yang mengeksekusi perintah dalam proses turunan. Cara ini akan dengan cepat memicu deteksi pasca-eksploitasi terhadap EDR terkemuka.
Loki C2 sejajar dengan MITRE ATT & CK Teknik T1218.011 - Eksekusi Proksi Biner Sistem: Aplikasi Elektron.
Setelah mencari di internet, saya belum menemukan teknik mengosongkan aplikasi Electron ini dan mengganti kodenya dengan C2 yang diungkapkan secara publik atau digunakan di dunia nyata. Namun, setelah berbagi Loki C2 dengan tim merah tepercaya, seseorang telah mengonfirmasi bahwa mereka telah mengembangkan kemampuan serupa secara internal.
Bahkan dengan MITRE ATT&CK TTP, beberapa publikasi riset dan entri LOLBAS, teknik lubang aplikasi Elektron ini sendiri tetap tidak terdeteksi. Asumsi saya adalah bahwa solusi EDR tidak berfokus pada mendeteksi hal ini, melainkan pada indikator pasca-eksploitasi, seperti munculnya proses turunan untuk mengeksekusi perintah. Karena kami telah mengembangkan metode untuk menerapkan Tahap 2 C2 sambil menghindari deteksi pasca-eksploitasi umum ini, kami telah berhasil menggunakan teknik ini dalam beberapa keterlibatan sambil menghindari deteksi.
Dengan semua ini dalam pikiran, lain kali Anda mendengar vendor mengklaim "100% Cakupan MITRE", ada baiknya mempertanyakan apa artinya sebenarnya...
