Los archivos del tema de Windows (aero.msstyles) se pueden descargar con spyware en sus recursos, específicamente en los scripts de UI

2

Versión corta: tema

Versión detallada:

Quiero usar un tema de terceros específico para Windows. Ya estoy usando una solución de código abierto que he compilado para deshabilitar la restricción de Windows en Temas.

En el pasado, cuando utilizaba mods relacionados con temas de terceros que vienen con DLL (por ejemplo, authui.dll para la interfaz de usuario de inicio de sesión, o imageres.dll para modificar los iconos del sistema), evito usar DLL desconocidos simplemente copiando los DLL desconocidos recursos relacionados con el tema (como mapas de bits, grupos de iconos o scripts de UI) para su homólogo de MS Dll virgen. Yo llamo a este injerto de recursos, donde los recursos se cambian pero los elementos ejecutables de DLL o exes quedan solos.

Volviendo al tema que quiero instalar, usé el hashing sha256 para determinar que solo aero.msstyles, que también es modificable por el hacker de recursos. Así que hice lo mismo que normalmente hago y transfiero recursos del tema de terceros a los propios estilos aero.ms de Window. El problema es que me encontré con un tipo de recurso del que no puedo leer o saber el contenido. Se llama VARIANT. A partir de algunos experimentos realizados en una máquina virtual, parece que es un tipo de script de UI binario que el pirata informático de recursos no puede descompilar. Por lo general, me gusta poder leer los scripts de UI que transfiero, pero no puedo hacerlo con este.

¿Esto constituiría algún riesgo de seguridad real? ¿Pueden los scripts de UI ser cargados con algún tipo de exploit? Me parece poco probable ya que la función de un archivo de tema (msstyle) es coordinar la apariencia de la interfaz de usuario del sistema, pero no sé lo suficiente sobre el funcionamiento interno de todo el sistema de temática para estar seguro. Pensé que obtendría otros puntos de vista antes de sacar el tema de la Máquina Virtual.

    
pregunta thebunnyrules 05.05.2017 - 23:24
fuente

1 respuesta

3

Usé vBinDiff para comparar el código hexadecimal del binario VARIANT / NORMAL alterado con el del tema original. También puede copiar los binhexes y guardarlos en dos archivos de texto que compararía con WinMerge.

vBinDiff y WinMerge destacarán qué modificaciones y qué adiciones / sustracciones se hicieron a los binarios, mostrándolos lado a lado. Leí las diferencias, el 90% de ellas no tenían más de 4 octales (4 bytes), normalmente lo que se esperaría ver cuando se modding colores usando un editor hexadecimal. La mayor divergencia fue un agregado de 32 bytes de código.

Hay dos explicaciones posibles para tal adición: (1) el autor agregó recursos de imagen adicionales y agregó las entradas necesarias para hacer referencia a ellos, (2) hay algún tipo de código no deseado que se ha introducido.

Para abordar la posibilidad de 2, hice una búsqueda para ver cómo se puede obtener el pequeño código troyano. ¿Qué tan probable es que un troyano se haya rellenado en 32 bytes si se compilan los scripts de UI? Encontré algunas menciones de un antiguo virus de 17 bytes de la era de DOS llamado trivial que deseché de inmediato porque se haría evidente muy rápidamente dado su comportamiento conocido. En cuanto a troyanos de pleno derecho con puertas traseras y capacidades de descarga, el más pequeño que encontré fue 20kb (troyano tinba), descubierto en 2012. También hay Catchy32, que todavía se considera un troyano pero con funcionalidades más simples y específicas, y eso es de 580 bytes. ( referencia ). Basándome en esta información, establecí que es altamente improbable (si no imposible) deslizar cualquier código en 32 bytes de código y establecí que el recurso en cuestión está limpio.

Eso sí, esto no responde a la pregunta que hice, pero se acerca bastante. Pensé que lo compartiría.

    
respondido por el thebunnyrules 08.05.2017 - 04:21
fuente

Lea otras preguntas en las etiquetas