Mae'r erthygl hon yn rhan o'r gyfres Fileless Malware. Pob rhan arall o'r gyfres:
- Adventures of the Elusive Malware, Rhan II: Sgriptiau VBA Cudd (rydym yma)
Rwy'n gefnogwr o'r safle (dadansoddiad hybrid, HA o hyn ymlaen). Mae hwn yn fath o sw malware lle gallwch chi arsylwi βysglyfaethwyrβ gwyllt yn ddiogel o bellter diogel heb ymosodiad. Mae HA yn rhedeg malware mewn amgylcheddau diogel, yn cofnodi galwadau system, wedi creu ffeiliau a thraffig Rhyngrwyd, ac yn rhoi'r holl ganlyniadau hyn i chi ar gyfer pob sampl y mae'n ei dadansoddi. Fel hyn, nid oes rhaid i chi wastraffu'ch amser ac egni yn ceisio darganfod y cod dryslyd eich hun, ond gallwch ddeall holl fwriadau'r hacwyr ar unwaith.
Mae'r enghreifftiau HA a ddaliodd fy sylw yn defnyddio sgriptiau JavaScript wedi'u codio neu Visual Basic for Applications (VBA) wedi'u hymgorffori fel macros mewn dogfennau Word neu Excel ac sydd ynghlwm wrth e-byst gwe-rwydo. Pan gΓ’nt eu hagor, mae'r macros hyn yn cychwyn sesiwn PowerShell ar gyfrifiadur y dioddefwr. Mae hacwyr fel arfer yn anfon llif o orchmynion wedi'u hamgodio Base64 i PowerShell. Gwneir hyn i gyd i wneud yr ymosodiad yn anodd ei ganfod gan hidlwyr gwe a meddalwedd gwrthfeirws sy'n ymateb i rai geiriau allweddol.
Yn ffodus, mae HA yn dadgodio Base64 yn awtomatig ac yn arddangos popeth mewn fformat darllenadwy ar unwaith. Yn y bΓ΄n, nid oes rhaid i chi ganolbwyntio ar sut mae'r sgriptiau hyn yn gweithio oherwydd byddwch chi'n gallu gweld yr allbwn gorchymyn llawn ar gyfer y prosesau rhedeg yn yr adran gyfatebol o HA. Gweler yr enghraifft isod:
Mae dadansoddiad hybrid yn rhyng-gipio gorchmynion wedi'u hamgodio Base64 a anfonwyd at PowerShell:
...ac yna'n eu dadgodio i chi. #hudol
Π Fe wnes i greu fy nghynhwysydd JavaScript fy hun braidd yn aflonydd i redeg sesiwn PowerShell. Mae fy sgript, fel llawer o malware sy'n seiliedig ar PowerShell, wedyn yn lawrlwytho'r sgript PowerShell ganlynol o wefan anghysbell. Yna, fel enghraifft, yr wyf yn llwytho PS diniwed a argraffodd neges ar y sgrin. Ond mae amseroedd yn newid, a nawr rwy'n bwriadu cymhlethu'r senario.
PowerShell Empire a Reverse Shell
Un o nodau'r ymarfer hwn yw dangos pa mor hawdd (yn gymharol) y gall haciwr osgoi amddiffynfeydd perimedr clasurol a gwrthfeirysau. Os gall blogiwr TG heb sgiliau rhaglennu, fel fi, ei wneud mewn cwpl o nosweithiau (hollol heb ei ganfod, FUD), dychmygwch alluoedd haciwr ifanc sydd Γ’ diddordeb yn hyn!
Ac os ydych chi'n ddarparwr diogelwch TG, ond nad yw'ch rheolwr yn ymwybodol o ganlyniadau posibl y bygythiadau hyn, dangoswch yr erthygl hon iddo.
Mae hacwyr yn breuddwydio am gael mynediad uniongyrchol i liniadur neu weinydd y dioddefwr. Mae hyn yn syml iawn i'w wneud: y cyfan sydd angen i haciwr ei wneud yw cael ychydig o ffeiliau cyfrinachol ar liniadur y Prif Swyddog Gweithredol.
Rhywsut dwi'n barod am amser rhedeg Γ΄l-gynhyrchu PowerShell Empire. Gadewch i ni gofio beth ydyw.
Yn ei hanfod, mae'n offeryn profi treiddiad sy'n seiliedig ar PowerShell sydd, ymhlith llawer o nodweddion eraill, yn caniatΓ‘u ichi redeg cragen wrthdroi yn hawdd. Gallwch ei astudio'n fanylach yn .
Gadewch i ni wneud ychydig o arbrawf. Sefydlais amgylchedd profi malware diogel yng nghwmwl Gwasanaethau Gwe Amazon. Gallwch ddilyn fy enghraifft i ddangos enghraifft weithredol o'r bregusrwydd hwn yn gyflym ac yn ddiogel (a pheidio Γ’ chael eich tanio am redeg firysau y tu mewn i berimedr y fenter).
Os byddwch chi'n lansio consol PowerShell Empire, fe welwch rywbeth fel hyn:
Yn gyntaf i chi gychwyn y broses gwrandΓ€wr ar eich cyfrifiadur haciwr. Rhowch y gorchymyn "gwrandΓ€wr", a nodwch gyfeiriad IP eich system gan ddefnyddio "set Host". Yna dechreuwch y broses gwrandΓ€wr gyda'r gorchymyn "gweithredu" (isod). Felly, ar eich rhan chi, byddwch chi'n dechrau aros am gysylltiad rhwydwaith o'r gragen anghysbell:
Ar yr ochr arall, bydd angen i chi gynhyrchu cod asiant trwy fynd i mewn i'r gorchymyn "lansiwr" (gweler isod). Bydd hyn yn cynhyrchu cod PowerShell ar gyfer yr asiant anghysbell. Sylwch ei fod wedi'i amgodio yn Base64, ac mae'n cynrychioli ail gam y llwyth tΓ’l. Mewn geiriau eraill, bydd fy nghod JavaScript nawr yn tynnu'r asiant hwn i redeg PowerShell yn lle argraffu testun yn ddiniwed i'r sgrin, a chysylltu Γ’'n gweinydd ABCh anghysbell i redeg cragen wrthdroi.
Hud y gragen o chwith. Bydd y gorchymyn PowerShell cod hwn yn cysylltu Γ’'m gwrandΓ€wr ac yn lansio cragen anghysbell.
I ddangos yr arbrawf hwn i chi, cymerais rΓ΄l y dioddefwr diniwed ac agor Evil.doc, a thrwy hynny lansio ein JavaScript. Cofiwch y rhan gyntaf? Mae PowerShell wedi'i ffurfweddu i atal ei ffenestr rhag ymddangos, felly ni fydd y dioddefwr yn sylwi ar unrhyw beth anarferol. Fodd bynnag, os byddwch chi'n agor Rheolwr Tasg Windows, fe welwch broses PowerShell gefndir na fydd yn achosi unrhyw larwm i'r rhan fwyaf o bobl beth bynnag. Oherwydd mai dim ond PowerShell rheolaidd ydyw, ynte?
Nawr pan fyddwch chi'n rhedeg Evil.doc, bydd proses gefndir cudd yn cysylltu Γ’'r gweinydd sy'n rhedeg PowerShell Empire. Gan roi ar fy het haciwr pentester gwyn, dychwelais i'r consol PowerShell Empire a nawr yn gweld neges bod fy asiant anghysbell yn weithredol.
Yna rhoddais y gorchymyn "interact" i agor cragen yn ABCh - ac yno yr oeddwn! Yn fyr, fe wnes i hacio'r gweinydd Taco a sefydlais i fy hun unwaith.
Nid yw'r hyn yr wyf newydd ei ddangos yn gofyn am gymaint o waith ar eich rhan. Gallwch chi wneud hyn i gyd yn hawdd yn ystod eich egwyl ginio am awr neu ddwy i wella eich gwybodaeth am ddiogelwch gwybodaeth. Mae hefyd yn ffordd wych o ddeall sut mae hacwyr yn osgoi'ch perimedr diogelwch allanol ac yn mynd i mewn i'ch systemau.
Mae'n debyg y bydd rheolwyr TG sy'n meddwl eu bod wedi adeiladu amddiffyniad anhreiddiadwy yn erbyn unrhyw ymyrraeth hefyd yn ei chael yn addysgiadol - hynny yw, os gallwch chi eu darbwyllo i eistedd gyda chi yn ddigon hir.
Gadewch i ni fynd yn Γ΄l at realiti
Fel y disgwyliais, mae darnia go iawn, anweledig i'r defnyddiwr cyffredin, yn amrywiad o'r hyn yr wyf newydd ei ddisgrifio. Er mwyn casglu deunydd ar gyfer y cyhoeddiad nesaf, dechreuais chwilio am sampl ar HA sy'n gweithio yn yr un ffordd Γ’ fy enghraifft ddyfeisiedig. Ac nid oedd yn rhaid i mi edrych amdano yn hir - mae yna lawer o opsiynau ar gyfer techneg ymosod debyg ar y wefan.
Y malware a ddarganfyddais yn y pen draw ar HA oedd sgript VBA a oedd wedi'i ymgorffori mewn dogfen Word. Hynny yw, nid oes angen i mi ffugio'r estyniad doc hyd yn oed, mae'r meddalwedd maleisus hwn yn ddogfen Microsoft Word sy'n edrych yn normal mewn gwirionedd. Os oes gennych ddiddordeb, dewisais y sampl hon o'r enw .
Dysgais yn gyflym nad ydych yn aml yn gallu tynnu sgriptiau VBA maleisus allan o ddogfen yn uniongyrchol. Mae hacwyr yn eu cywasgu a'u cuddio fel nad ydyn nhw'n weladwy yn offer macro adeiledig Word. Bydd angen teclyn arbennig arnoch i gael gwared arno. Yn ffodus fe ddes i ar draws sganiwr Frank Baldwin. Diolch i chi, Frank.
Gan ddefnyddio'r offeryn hwn, llwyddais i dynnu cod VBA hynod o rwystredig allan. Roedd yn edrych rhywbeth fel hyn:
Gwnaethpwyd y rhwystredigaeth gan weithwyr proffesiynol yn eu maes. Cefais argraff arnaf!
Mae ymosodwyr yn dda iawn am guddio cod, nid fel fy ymdrechion i greu Evil.doc. Iawn, yn y rhan nesaf byddwn yn tynnu ein dadfygwyr VBA allan, yn plymio ychydig yn ddyfnach i'r cod hwn ac yn cymharu ein dadansoddiad Γ’ chanlyniadau HA.
Ffynhonnell: hab.com