Kini nga artikulo kabahin sa Fileless Malware nga serye. Ang ubang mga bahin sa serye:
- Adventures of the Elusive Malware, Part II: Nakatago nga VBA Scripts (ania kami)
Fan ko sa site (hybrid analysis, human niini HA). Kini usa ka klase sa malware zoo diin luwas ka nga maka-obserbar sa mga ihalas nga "mga manunukob" gikan sa luwas nga gilay-on nga wala giatake. Ang HA nagpadagan sa malware sa luwas nga mga palibot, nagrekord sa mga tawag sa sistema, nagmugna og mga file ug trapiko sa Internet, ug naghatag kanimo niining tanan nga mga resulta alang sa matag sample nga gisusi niini. Niining paagiha, dili nimo kinahanglan nga usikan ang imong oras ug kusog sa pagsulay nga mahibal-an ang makalibog nga code sa imong kaugalingon, apan masabtan dayon ang tanan nga katuyoan sa mga hacker.
Ang mga pananglitan sa HA nga nakakuha sa akong atensyon naggamit sa bisan unsang code nga JavaScript o Visual Basic for Applications (VBA) nga mga script nga gi-embed isip mga macro sa Word o Excel nga mga dokumento ug gilakip sa mga email sa phishing. Sa dihang giablihan, kini nga mga macro magsugod ug PowerShell session sa computer sa biktima. Ang mga hacker kasagarang magpadala ug Base64 nga naka-encode nga stream sa mga sugo ngadto sa PowerShell. Gihimo kining tanan aron ang pag-atake lisud mahibal-an sa mga pagsala sa web ug software sa antivirus nga motubag sa pipila nga mga keyword.
Maayo na lang, ang HA awtomatik nga nag-decode sa Base64 ug nagpakita sa tanan sa usa ka mabasa nga pormat dayon. Sa tinuud, dili nimo kinahanglan nga ipunting kung giunsa kini nga mga script molihok tungod kay makita nimo ang tibuuk nga output sa command alang sa mga proseso nga nagdagan sa katugbang nga seksyon sa HA. Tan-awa ang pananglitan sa ubos:
Ang Hybrid analysis nagpugong sa Base64 nga naka-encode nga mga sugo nga gipadala ngadto sa PowerShell:
...ug dayon i-decode kini para nimo. #magically
Π Naghimo ko sa akong kaugalingon nga gamay nga natago nga sulud sa JavaScript aron makadagan ang usa ka sesyon sa PowerShell. Ang akong script, sama sa daghang malware nga nakabase sa PowerShell, dayon i-download ang mosunod nga PowerShell script gikan sa usa ka hilit nga website. Dayon, isip pananglitan, nag-load ko og dili makadaot nga PS nga nag-imprinta og mensahe sa screen. Apan ang mga panahon nagbag-o, ug karon akong gisugyot nga komplikado ang senaryo.
PowerShell Empire ug Reverse Shell
Usa sa mga tumong niini nga ehersisyo mao ang pagpakita kon sa unsang paagi (medyo) dali ang usa ka hacker makalatas sa mga klasiko nga depensa sa perimeter ug mga antivirus. Kung ang usa ka IT blogger nga walaβy kahanas sa pagprograma, sama kanako, mahimo kini sa usa ka magtiayon nga mga gabii (hingpit nga wala mamatikdi, FUD), hunahunaa ang mga kapabilidad sa usa ka batan-ong hacker nga interesado niini!
Ug kung ikaw usa ka tighatag sa seguridad sa IT, apan wala nahibal-an sa imong manager ang posible nga mga sangputanan sa kini nga mga hulga, ipakita lang kaniya kini nga artikulo.
Ang mga hacker nagdamgo nga makakuha og direktang access sa laptop o server sa biktima. Kini yano ra kaayo nga buhaton: ang tanan nga kinahanglan buhaton sa usa ka hacker mao ang pagkuha og pipila ka mga kompidensyal nga mga file sa laptop sa CEO.
Unsaon nako na mahitungod sa PowerShell Empire post-production runtime. Atong hinumduman kung unsa kini.
Kini usa ka himan sa pagsulay sa pagsulod nga nakabase sa PowerShell nga, taliwala sa daghang uban pang mga bahin, nagtugot kanimo nga dali nga makadagan ang usa ka balik nga kabhang. Mahimo nimong tun-an kini sa mas detalyado sa .
Magbuhat ta ug gamay nga eksperimento. Nag-set up ko og luwas nga malware testing environment sa Amazon Web Services cloud. Mahimo nimong sundon ang akong panig-ingnan aron dali ug luwas nga ipakita ang usa ka nagtrabaho nga panig-ingnan sa kini nga pagkahuyang (ug dili matanggal tungod sa pagpadagan sa mga virus sa sulod sa perimeter sa negosyo).
Kung maglansad ka sa PowerShell Empire console, makakita ka og ingon niini:
Una imong sugdan ang proseso sa tigpaminaw sa imong hacker computer. Pagsulod sa sugo nga "tigpaminaw", ug ipiho ang IP address sa imong sistema gamit ang "set Host". Dayon sugdi ang proseso sa tigpaminaw gamit ang "execute" command (sa ubos). Busa, sa imong bahin, magsugod ka sa paghulat alang sa koneksyon sa network gikan sa hilit nga kabhang:
Alang sa pikas nga bahin, kinahanglan nimo nga maghimo usa ka code sa ahente pinaagi sa pagsulod sa "launcher" nga mando (tan-awa sa ubos). Makamugna kini og PowerShell code alang sa hilit nga ahente. Timan-i nga kini gi-encode sa Base64, ug nagrepresentar sa ikaduhang hugna sa payload. Sa laing pagkasulti, ang akong JavaScript code karon mobira niini nga ahente aron sa pagpadagan sa PowerShell imbes nga walay sala nga pag-imprinta sa teksto ngadto sa screen, ug pagkonektar sa among hilit nga PSE server aron sa pagpadagan sa usa ka reverse shell.
Ang salamangka sa reverse shell. Kining gi-code nga PowerShell nga sugo magkonektar sa akong tigpaminaw ug maglunsad og hilit nga kabhang.
Aron ipakita kanimo kini nga eksperimento, akong gikuha ang papel sa inosenteng biktima ug giablihan ang Evil.doc, sa ingon naglansad sa among JavaScript. Hinumdomi ang unang bahin? Ang PowerShell gi-configure aron mapugngan ang bintana niini gikan sa pag-pop up, aron ang biktima dili makamatikod sa bisan unsa nga talagsaon. Bisan pa, kung ablihan nimo ang Windows Task Manager, makakita ka usa ka background nga proseso sa PowerShell nga dili magpahinabog bisan unsang alarma sa kadaghanan sa mga tawo. Tungod kay kini usa ra ka regular nga PowerShell, dili ba?
Karon kung imong gipadagan ang Evil.doc, usa ka tinago nga proseso sa background ang magkonektar sa server nga nagpadagan sa PowerShell Empire. Gisul-ob ang akong puti nga pentester hacker nga kalo, mibalik ko sa PowerShell Empire console ug karon nakakita og mensahe nga aktibo ang akong remote agent.
Gisulod dayon nako ang command "interact" para mag-abli ug shell sa PSE - ug didto ko! Sa laktod, akong gi-hack ang Taco server nga akong gi-set up sa akong kaugalingon kausa.
Ang bag-o lang nakong gipakita wala magkinahanglan og daghang trabaho sa imong bahin. Dali nimong mahimo kining tanan sa panahon sa imong paniudto sa usa o duha ka oras aron mapauswag ang imong kahibalo sa seguridad sa impormasyon. Kini usab usa ka maayo nga paagi aron masabtan kung giunsa ang mga hacker sa paglatas sa imong eksternal nga perimeter sa seguridad ug pagsulod sa imong mga sistema.
Ang mga manedyer sa IT nga naghunahuna nga nagtukod sila usa ka dili masulud nga depensa batok sa bisan unsang pagpanghilabot mahimo usab nga makit-an kini nga pang-edukasyon - kana, kung makombinsir nimo sila nga maglingkod uban kanimo igo nga kadugay.
Balik ta sa realidad
Sama sa akong gilauman, usa ka tinuod nga hack, nga dili makita sa kasagaran nga tiggamit, usa lamang ka kalainan sa akong gihulagway. Aron mangolekta og materyal alang sa sunod nga publikasyon, nagsugod ko sa pagpangita og sample sa HA nga nagtrabaho sa samang paagi sa akong naimbento nga ehemplo. Ug dili nako kinahanglan pangitaon kini sa dugay nga panahon - adunay daghang mga kapilian alang sa parehas nga pamaagi sa pag-atake sa site.
Ang malware nga sa katapusan nakit-an nako sa HA usa ka VBA script nga na-embed sa usa ka dokumento sa Pulong. Sa ato pa, dili na nako kinahanglan nga peke ang extension sa doc, kini nga malware usa ka normal nga hitsura nga dokumento sa Microsoft Word. Kung interesado ka, gipili nako kini nga sample nga gitawag .
Dali nakong nahibal-an nga kasagaran dili nimo direktang makuha ang malisyoso nga mga script sa VBA gikan sa usa ka dokumento. Ang mga hacker nag-compress ug nagtago niini aron dili kini makita sa mga built-in nga macro tool sa Word. Kinahanglan nimo ang usa ka espesyal nga himan aron makuha kini. Maayo na lang kay nakakita kog scanner Frank Baldwin. Salamat, Frank.
Pinaagi sa paggamit niini nga himan, ako nakahimo sa pagbitad sa hilabihan obfuscated VBA code. Kini tan-awon sama niini:
Ang obfuscation gihimo sa mga propesyonal sa ilang natad. Nakadayeg ko!
Ang mga tig-atake maayo kaayo sa pag-obfuscating sa code, dili sama sa akong mga paningkamot sa paghimo sa Evil.doc. Okay, sa sunod nga bahin atong kuhaon ang atong VBA debuggers, dive sa usa ka gamay nga lawom ngadto niini nga code ug itandi ang atong pagtuki sa mga resulta sa HA.
Source: www.habr.com