هذه المقالة جزء من سلسلة Fileless Malware. جميع الأجزاء الأخرى من السلسلة:
- مغامرات البرامج الضارة المراوغة، الجزء الثاني: نصوص VBA المخفية (نحن هنا)
أنا معجب بالموقع (التحليل المختلط، ويشار إليه فيما يلي بـ HA). هذا نوع من حديقة الحيوانات الضارة حيث يمكنك مراقبة "الحيوانات المفترسة" البرية بأمان من مسافة آمنة دون التعرض للهجوم. يقوم HA بتشغيل البرامج الضارة في بيئات آمنة، ويسجل مكالمات النظام، والملفات التي تم إنشاؤها وحركة المرور على الإنترنت، ويمنحك كل هذه النتائج لكل عينة يقوم بتحليلها. بهذه الطريقة، لن تضطر إلى إضاعة وقتك وطاقتك في محاولة اكتشاف الكود المربك بنفسك، ولكن يمكنك فهم جميع نوايا المتسللين على الفور.
تستخدم أمثلة HA التي لفتت انتباهي إما نصوص JavaScript أو Visual Basic for Applications (VBA) المشفرة المضمنة كوحدات ماكرو في مستندات Word أو Excel ومرفقة برسائل البريد الإلكتروني التصيدية. عند فتح وحدات الماكرو هذه، تبدأ جلسة PowerShell على كمبيوتر الضحية. يرسل المتسللون عادةً دفقًا مشفرًا من الأوامر Base64 إلى PowerShell. يتم كل ذلك لجعل اكتشاف الهجوم صعبًا بواسطة مرشحات الويب وبرامج مكافحة الفيروسات التي تستجيب لكلمات رئيسية معينة.
لحسن الحظ، يقوم HA تلقائيًا بفك تشفير Base64 ويعرض كل شيء بتنسيق قابل للقراءة على الفور. بشكل أساسي، لا يتعين عليك التركيز على كيفية عمل هذه البرامج النصية لأنك ستتمكن من رؤية مخرجات الأمر الكاملة للعمليات الجارية في القسم المقابل من HA. انظر المثال أدناه:
يعترض التحليل المختلط أوامر Base64 المشفرة المرسلة إلى PowerShell:
...ومن ثم يقوم بفك تشفيرها لك. #بطريقة سحرية
В لقد قمت بإنشاء حاوية جافا سكريبت المبهمة قليلاً الخاصة بي لتشغيل جلسة PowerShell. يقوم البرنامج النصي الخاص بي، مثل العديد من البرامج الضارة المستندة إلى PowerShell، بتنزيل برنامج PowerShell النصي التالي من موقع ويب بعيد. ثم، على سبيل المثال، قمت بتحميل PS غير ضار والذي قام بطباعة رسالة على الشاشة. لكن الزمن يتغير، والآن أقترح تعقيد السيناريو.
PowerShell Empire وReverse Shell
أحد أهداف هذا التمرين هو إظهار مدى السهولة (نسبيًا) التي يمكن للمتسلل من خلالها تجاوز الدفاعات المحيطة الكلاسيكية ومضادات الفيروسات. إذا كان مدون تكنولوجيا المعلومات الذي لا يتمتع بمهارات البرمجة، مثلي، يمكنه القيام بذلك في بضع أمسيات (غير مكتشف بالكامل، FUD)، تخيل قدرات الهاكر الشاب المهتم بهذا الأمر!
وإذا كنت أحد مزودي خدمات أمن تكنولوجيا المعلومات، ولكن مديرك ليس على علم بالعواقب المحتملة لهذه التهديدات، فما عليك سوى أن تظهر له هذه المقالة.
يحلم المتسللون بالوصول المباشر إلى الكمبيوتر المحمول أو الخادم الخاص بالضحية. يعد هذا أمرًا بسيطًا للغاية: كل ما يحتاج المتسلل إلى فعله هو الحصول على بعض الملفات السرية على الكمبيوتر المحمول الخاص بالرئيس التنفيذي.
بطريقة أو بأخرى أنا بالفعل حول وقت تشغيل PowerShell Empire لمرحلة ما بعد الإنتاج. دعونا نتذكر ما هو عليه.
إنها في الأساس أداة لاختبار الاختراق تعتمد على PowerShell، والتي تتيح لك، من بين العديد من الميزات الأخرى، تشغيل الصدفة العكسية بسهولة. يمكنك دراستها بمزيد من التفصيل على .
دعونا نفعل تجربة صغيرة. لقد قمت بإعداد بيئة آمنة لاختبار البرامج الضارة في سحابة Amazon Web Services. يمكنك اتباع المثال الخاص بي لعرض مثال عملي لهذه الثغرة الأمنية بسرعة وأمان (وعدم طردك من العمل بسبب تشغيل الفيروسات داخل محيط المؤسسة).
إذا قمت بتشغيل وحدة التحكم PowerShell Empire، فسترى شيئًا مثل هذا:
أولاً، تبدأ عملية المستمع على جهاز الكمبيوتر الخاص بك. أدخل الأمر "المستمع"، وحدد عنوان IP لنظامك باستخدام "تعيين المضيف". ثم ابدأ عملية المستمع باستخدام الأمر "تنفيذ" (أدناه). وبالتالي، من جانبك، ستبدأ في انتظار اتصال الشبكة من الصدفة البعيدة:
بالنسبة للجانب الآخر، ستحتاج إلى إنشاء رمز وكيل عن طريق إدخال أمر "المشغل" (انظر أدناه). سيؤدي هذا إلى إنشاء رمز PowerShell للوكيل البعيد. لاحظ أنه تم ترميزه في Base64، ويمثل المرحلة الثانية من الحمولة. بمعنى آخر، سيقوم رمز JavaScript الخاص بي الآن بسحب هذا الوكيل لتشغيل PowerShell بدلاً من طباعة النص على الشاشة بشكل غير ضار، والاتصال بخادم PSE البعيد الخاص بنا لتشغيل الصدفة العكسية.
سحر الصدفة العكسية. سوف يتصل أمر PowerShell المشفر هذا بالمستمع الخاص بي ويطلق قذيفة بعيدة.
لإظهار هذه التجربة، قمت بدور الضحية البريئة وفتحت Evil.doc، وبالتالي إطلاق JavaScript الخاص بنا. هل تتذكر الجزء الأول؟ تم تكوين PowerShell بحيث يمنع نافذته من الظهور، لذلك لن يلاحظ الضحية أي شيء غير عادي. ومع ذلك، إذا قمت بفتح إدارة مهام Windows، فسترى عملية PowerShell في الخلفية والتي لن تسبب أي إنذار لمعظم الأشخاص على أي حال. لأنه مجرد PowerShell عادي، أليس كذلك؟
الآن، عندما تقوم بتشغيل Evil.doc، ستتصل عملية خلفية مخفية بالخادم الذي يقوم بتشغيل PowerShell Empire. ارتديت قبعة القراصنة البيضاء الخاصة بي، ورجعت إلى وحدة تحكم PowerShell Empire ورأيت الآن رسالة تفيد بأن وكيلي البعيد نشط.
ثم أدخلت الأمر "تفاعل" لفتح Shell في PSE - وها أنا ذا! باختصار، لقد اخترقت خادم Taco الذي قمت بإعداده بنفسي ذات مرة.
ما أوضحته للتو لا يتطلب الكثير من العمل من جانبك. يمكنك القيام بكل هذا بسهولة أثناء استراحة الغداء لمدة ساعة أو ساعتين لتحسين معرفتك بأمن المعلومات. إنها أيضًا طريقة رائعة لفهم كيفية تجاوز المتسللين لمحيط الأمان الخارجي الخاص بك والدخول إلى أنظمتك.
مديرو تكنولوجيا المعلومات الذين يعتقدون أنهم قاموا ببناء دفاع لا يمكن اختراقه ضد أي تطفل ربما يجدون ذلك تعليميًا أيضًا - أي إذا كان بإمكانك إقناعهم بالجلوس معك لفترة كافية.
دعونا نعود إلى الواقع
كما توقعت، فإن الاختراق الحقيقي، غير المرئي للمستخدم العادي، هو مجرد اختلاف عما وصفته للتو. لجمع المواد للنشر التالي، بدأت في البحث عن عينة على HA، والتي تعمل بنفس الطريقة مثل المثال المخترع الخاص بي. ولم أضطر إلى البحث عنه لفترة طويلة - فهناك العديد من الخيارات لأسلوب هجوم مماثل على الموقع.
كانت البرامج الضارة التي وجدتها في النهاية على HA عبارة عن برنامج نصي VBA تم تضمينه في مستند Word. وهذا يعني أنني لا أحتاج حتى إلى تزييف امتداد المستند، فهذه البرامج الضارة هي في الواقع مستند Microsoft Word ذو مظهر عادي. إذا كنت مهتما، اخترت هذه العينة تسمى .
لقد تعلمت بسرعة أنه في كثير من الأحيان لا يمكنك سحب البرامج النصية الضارة لـ VBA مباشرة من المستند. يقوم المتسللون بضغطها وإخفائها بحيث لا تكون مرئية في أدوات الماكرو المضمنة في Word. سوف تحتاج إلى أداة خاصة لإزالته. لحسن الحظ جئت عبر الماسح الضوئي فرانك بالدوين. شكرا لك فرانك.
باستخدام هذه الأداة، تمكنت من سحب كود VBA المبهم للغاية. بدا الأمر مثل هذا:
تم التشويش على يد محترفين في مجالهم. كنت منبهرا!
المهاجمون جيدون حقًا في التعتيم على التعليمات البرمجية، وليس مثل مجهوداتي في إنشاء Evil.doc. حسنًا، في الجزء التالي سوف نقوم بإخراج مصححات أخطاء VBA الخاصة بنا، ونتعمق قليلاً في هذا الكود ونقارن تحليلنا بنتائج HA.
المصدر: www.habr.com