Denne artikel er en del af Fileless Malware-serien. Alle andre dele af serien:
- Adventures of the Elusive Malware, Del II: Hidden VBA Scripts (vi er her)
Jeg er fan af siden (hybridanalyse, herefter HA). Dette er en slags malware-zoo, hvor du trygt kan observere vilde "rovdyr" på sikker afstand uden at blive angrebet. HA kører malware i sikre miljøer, registrerer systemopkald, oprettede filer og internettrafik og giver dig alle disse resultater for hver prøve, den analyserer. På denne måde behøver du ikke spilde din tid og energi på selv at finde ud af den forvirrende kode, men du kan straks forstå alle hackernes intentioner.
De HA-eksempler, der fangede min opmærksomhed, bruger enten kodet JavaScript eller Visual Basic for Applications (VBA)-scripts, der er indlejret som makroer i Word- eller Excel-dokumenter og vedhæftet phishing-e-mails. Når de åbnes, starter disse makroer en PowerShell-session på ofrets computer. Hackere sender typisk en Base64-kodet strøm af kommandoer til PowerShell. Dette er alt sammen gjort for at gøre angrebet svært at opdage af webfiltre og antivirussoftware, der reagerer på bestemte søgeord.
Heldigvis afkoder HA automatisk Base64 og viser alt i et læsbart format med det samme. I det væsentlige behøver du ikke at fokusere på, hvordan disse scripts fungerer, fordi du vil være i stand til at se det fulde kommandooutput for de kørende processer i den tilsvarende sektion af HA. Se eksempel nedenfor:
Hybridanalyse opsnapper Base64-kodede kommandoer sendt til PowerShell:
...og så afkoder dem for dig. #magisk
В Jeg oprettede min egen lidt slørede JavaScript-beholder til at køre en PowerShell-session. Mit script, som mange andre PowerShell-baserede malware, downloader derefter følgende PowerShell-script fra et eksternt websted. Så indlæste jeg som et eksempel en harmløs PS, der udskrev en besked på skærmen. Men tiderne ændrer sig, og nu foreslår jeg at komplicere scenariet.
PowerShell Empire og Reverse Shell
Et af målene med denne øvelse er at vise, hvor (relativt) let en hacker kan omgå klassiske perimeterforsvar og antivirus. Hvis en it-blogger uden programmeringsevner, som jeg, kan klare det på et par aftener (fuldt uopdaget, FUD), forestil dig evnerne hos en ung hacker, der er interesseret i dette!
Og hvis du er en it-sikkerhedsudbyder, men din leder ikke er klar over de mulige konsekvenser af disse trusler, skal du bare vise ham denne artikel.
Hackere drømmer om at få direkte adgang til ofrets bærbare computer eller server. Dette er meget enkelt at gøre: alt, hvad en hacker skal gøre, er at få et par fortrolige filer på den administrerende direktørs bærbare computer.
På en eller anden måde har jeg allerede om PowerShell Empire post-produktion runtime. Lad os huske, hvad det er.
Det er i bund og grund et PowerShell-baseret penetrationstestværktøj, der blandt mange andre funktioner giver dig mulighed for nemt at køre en omvendt skal. Du kan studere det mere detaljeret på .
Lad os lave et lille eksperiment. Jeg konfigurerede et sikkert malware-testmiljø i Amazon Web Services-skyen. Du kan følge mit eksempel for hurtigt og sikkert at vise et fungerende eksempel på denne sårbarhed (og ikke blive fyret for at køre virus inden for virksomhedens perimeter).
Hvis du starter PowerShell Empire-konsollen, vil du se noget som dette:
Først starter du lytteprocessen på din hackercomputer. Indtast kommandoen "lytter", og angiv IP-adressen på dit system ved hjælp af "indstil vært". Start derefter lytteprocessen med kommandoen "execute" (nedenfor). Således vil du fra din side begynde at vente på en netværksforbindelse fra fjernskallen:
Til den anden side skal du generere en agentkode ved at indtaste kommandoen "starter" (se nedenfor). Dette vil generere PowerShell-kode til fjernagenten. Bemærk, at det er kodet i Base64 og repræsenterer den anden fase af nyttelasten. Med andre ord vil min JavaScript-kode nu trække denne agent til at køre PowerShell i stedet for uskadeligt at udskrive tekst til skærmen og forbinde til vores eksterne PSE-server for at køre en omvendt shell.
Magien ved omvendt skal. Denne kodede PowerShell-kommando vil oprette forbindelse til min lytter og starte en ekstern shell.
For at vise dig dette eksperiment påtog jeg mig rollen som det uskyldige offer og åbnede Evil.doc og lancerede derved vores JavaScript. Kan du huske den første del? PowerShell er blevet konfigureret til at forhindre dets vindue i at dukke op, så offeret vil ikke bemærke noget usædvanligt. Men hvis du åbner Windows Task Manager, vil du se en PowerShell-proces i baggrunden, der alligevel ikke forårsager nogen alarm for de fleste mennesker. For det er bare almindelig PowerShell, er det ikke?
Når du nu kører Evil.doc, vil en skjult baggrundsproces oprette forbindelse til serveren, der kører PowerShell Empire. Jeg tog min hvide pentester hackerhat på og vendte tilbage til PowerShell Empire-konsollen og ser nu en besked om, at min fjernagent er aktiv.
Jeg indtastede så kommandoen "interact" for at åbne en shell i PSE - og der var jeg! Kort sagt hackede jeg Taco-serveren, som jeg selv oprettede én gang.
Det, jeg lige har demonstreret, kræver ikke så meget arbejde fra din side. Du kan nemt gøre alt dette i din frokostpause i en eller to timer for at forbedre din viden om informationssikkerhed. Det er også en fantastisk måde at forstå, hvordan hackere omgår din eksterne sikkerhedsperimeter og kommer ind i dine systemer.
IT-chefer, der tror, de har bygget et uigennemtrængeligt forsvar mod enhver indtrængen, vil sikkert også finde det lærerigt – altså hvis du kan overbevise dem om at sidde hos dig længe nok.
Lad os vende tilbage til virkeligheden
Som jeg forventede, er et rigtigt hack, usynligt for den gennemsnitlige bruger, simpelthen en variation af det, jeg lige har beskrevet. For at samle materiale til den næste udgivelse begyndte jeg at lede efter en prøve på HA, der fungerer på samme måde som mit opfundne eksempel. Og jeg behøvede ikke lede længe efter det - der er mange muligheder for en lignende angrebsteknik på webstedet.
Den malware, jeg til sidst fandt på HA, var et VBA-script, der var indlejret i et Word-dokument. Det vil sige, jeg behøver ikke engang at forfalske doc-udvidelsen, denne malware er virkelig et normalt udseende Microsoft Word-dokument. Hvis du er interesseret, valgte jeg denne prøve kaldet .
Jeg lærte hurtigt, at man ofte ikke direkte kan trække ondsindede VBA-scripts ud af et dokument. Hackere komprimerer og skjuler dem, så de ikke er synlige i Words indbyggede makroværktøjer. Du skal bruge et specielt værktøj til at fjerne det. Heldigvis stødte jeg på en scanner Frank Baldwin. Tak, Frank.
Ved at bruge dette værktøj var jeg i stand til at trække meget sløret VBA-kode ud. Det så nogenlunde sådan her ud:
Tilsløringen blev udført af fagfolk inden for deres felt. Jeg var imponeret!
Angribere er virkelig gode til at sløre kode, ikke som min indsats med at skabe Evil.doc. Okay, i den næste del vil vi tage vores VBA-debuggere ud, dykke lidt dybere ned i denne kode og sammenligne vores analyse med HA-resultaterne.
Kilde: www.habr.com