Ĉi tiu artikolo estas parto de la serio Fileless Malware. Ĉiuj aliaj partoj de la serio:
- Aventuroj de la Elusiva Malware, Parto II: Kaŝitaj VBA-Skriptoj (ni estas ĉi tie)
Mi estas ŝatanto de la retejo (hibrida analizo, ĉi-poste HA). Ĉi tio estas speco de malware zoo kie vi povas sekure observi sovaĝajn "predantojn" de sekura distanco sen esti atakita. HA rulas malware en sekuraj medioj, registras sistemajn vokojn, kreitajn dosierojn kaj interretan trafikon, kaj donas al vi ĉiujn ĉi tiujn rezultojn por ĉiu specimeno kiun ĝi analizas. Tiel, vi ne devas malŝpari vian tempon kaj energion provante mem eltrovi la konfuzan kodon, sed povas tuj kompreni ĉiujn intencojn de la hakistoj.
La HA-ekzemploj, kiuj kaptis mian atenton, uzas aŭ kodigitan JavaScript aŭ Visual Basic for Applications (VBA) skriptojn enkonstruitajn kiel makroojn en Word aŭ Excel-dokumentoj kaj alfiksitaj al phishing-retpoŝtoj. Kiam estas malfermitaj, ĉi tiuj makrooj komencas PowerShell-sesion en la komputilo de la viktimo. Hakistoj kutime sendas Base64-koditan fluon de komandoj al PowerShell. Ĉio ĉi estas farita por malfaciligi la atakon detektebla per retaj filtriloj kaj kontraŭvirusa programaro, kiuj respondas al certaj ŝlosilvortoj.
Feliĉe, HA aŭtomate malkodas Base64 kaj tuj montras ĉion en legebla formato. Esence, vi ne devas koncentriĝi pri kiel ĉi tiuj skriptoj funkcias, ĉar vi povos vidi la plenan komandan eligon por la kurantaj procezoj en la responda sekcio de HA. Vidu ekzemplon sube:
Hibrida analizo kaptas Base64-kodigitajn komandojn senditajn al PowerShell:
...kaj poste malkodas ilin por vi. #magie
В Mi kreis mian propran iomete malklarigitan JavaScript-ujon por funkciigi PowerShell-sesion. Mia skripto, kiel multaj PowerShell-bazitaj malware, tiam elŝutas la sekvan PowerShell-skripton de fora retejo. Poste, ekzemple, mi ŝargis sendanĝeran PS, kiu presis mesaĝon sur la ekrano. Sed tempoj ŝanĝiĝas, kaj nun mi proponas kompliki la scenaron.
PowerShell Empire kaj Reverse Shell
Unu el la celoj de ĉi tiu ekzerco estas montri kiel (relative) facile retpirato povas preteriri klasikajn perimetrajn defendojn kaj antivirusojn. Se IT-bloganto sen programado, kiel mi, povas fari ĝin en kelkaj vesperoj (plene nerimarkita, FUD), imagu la kapablojn de juna retpirato interesita pri tio!
Kaj se vi estas sekureca provizanto, sed via administranto ne konscias pri la eblaj konsekvencoj de ĉi tiuj minacoj, simple montru al li ĉi tiun artikolon.
Hakistoj revas akiri rektan aliron al la tekkomputilo aŭ servilo de la viktimo. Ĉi tio estas tre simpla por fari: ĉio, kion hakisto devas fari, estas ricevi kelkajn konfidencajn dosierojn sur la tekkomputilo de la CEO.
Iel mi jam pri la postprodukta rultempo de PowerShell Empire. Ni memoru kio ĝi estas.
Ĝi estas esence PowerShell-bazita penetra testa ilo kiu, inter multaj aliaj funkcioj, permesas vin facile ruli inversan ŝelon. Vi povas studi ĝin pli detale ĉe .
Ni faru etan eksperimenton. Mi starigis sekuran provan medion de malware en la nubo de Amazon Web Services. Vi povas sekvi mian ekzemplon por rapide kaj sekure montri funkciantan ekzemplon de ĉi tiu vundebleco (kaj ne esti maldungita pro kurado de virusoj ene de la entreprena perimetro).
Se vi lanĉas la PowerShell Empire-konzolon, vi vidos ion tian:
Unue vi komencas la aŭskultan procezon sur via hacker komputilo. Enigu la komandon "aŭskultanto", kaj specifu la IP-adreson de via sistemo uzante "starigi Gastiganton". Poste komencu la procezon de aŭskultanto per la komando "ekzekuti" (malsupre). Tiel, viaflanke, vi komencos atendi retan konekton de la fora ŝelo:
Por la alia flanko, vi devos generi agentan kodon enirante la komandon "lanĉilo" (vidu sube). Ĉi tio generos PowerShell-kodon por la fora agento. Notu ke ĝi estas ĉifrita en Base64, kaj reprezentas la duan fazon de la utila ŝarĝo. Alivorte, mia JavaScript-kodo nun tiros ĉi tiun agenton por ruli PowerShell anstataŭ senkulpe presi tekston al la ekrano, kaj konektiĝi al nia fora PSE-servilo por ruli inversan ŝelon.
La magio de inversa ŝelo. Ĉi tiu kodita PowerShell-komando konektos al mia aŭskultanto kaj lanĉos foran ŝelon.
Por montri al vi ĉi tiun eksperimenton, mi prenis la rolon de la senkulpa viktimo kaj malfermis Evil.doc, tiel lanĉante nian JavaScript. Ĉu vi memoras la unuan parton? PowerShell estis agordita por eviti ke ĝia fenestro aperos, do la viktimo ne rimarkos ion nekutiman. Tamen, se vi malfermas la Vindozan Task Manager, vi vidos fonan PowerShell-procezon, kiu ĉiuokaze ne kaŭzos ajnan alarmon al plej multaj homoj. Ĉar ĝi estas nur regula PowerShell, ĉu ne?
Nun kiam vi rulas Evil.doc, kaŝita fona procezo konektos al la servilo, kiu funkcias PowerShell Empire. Surmetinte mian blankan pentesteran ĉapelon, mi revenis al la PowerShell Empire-konzolo kaj nun vidas mesaĝon, ke mia fora agento estas aktiva.
Mi tiam enigis la komandon "interagi" por malfermi ŝelon en PSE - kaj jen mi estis! Resume, mi hakis la Taco-servilon, kiun mi mem instalis unufoje.
Kion mi ĵus pruvis, ne postulas tiom da laboro de via flanko. Vi povas facile fari ĉion ĉi dum via tagmanĝa paŭzo dum unu aŭ du horoj por plibonigi vian informsekurecan scion. Ĝi ankaŭ estas bonega maniero kompreni kiel hackers preterpasas vian eksteran sekurecan perimetron kaj eniras viajn sistemojn.
IT-administrantoj, kiuj opinias, ke ili konstruis nepenetreblan defendon kontraŭ iu ajn entrudiĝo, verŝajne ankaŭ trovos ĝin eduka - tio estas, se vi povas konvinki ilin sidi kun vi sufiĉe longe.
Ni revenu al la realo
Kiel mi atendis, vera hako, nevidebla por la averaĝa uzanto, estas simple variaĵo de tio, kion mi ĵus priskribis. Por kolekti materialon por la sekva eldonaĵo, mi komencis serĉi specimenon pri HA, kiu funkcias same kiel mia elpensita ekzemplo. Kaj mi ne devis longe serĉi ĝin - estas multaj ebloj por simila ataktekniko en la retejo.
La malware, kiun mi finfine trovis sur HA, estis VBA-skripto, kiu estis enigita en Word-dokumenton. Tio estas, mi eĉ ne bezonas falsi la doc-etendon, ĉi tiu malbon-programo vere estas normalaspekta Microsoft Word-dokumento. Se vi interesiĝas, mi elektis ĉi tiun specimenon nomitan .
Mi rapide eksciis, ke oni ofte ne povas rekte eltiri malicajn VBA-skriptojn el dokumento. Hakistoj kunpremas kaj kaŝas ilin por ke ili ne estu videblaj en la enkonstruitaj makroiloj de Word. Vi bezonos specialan ilon por forigi ĝin. Feliĉe mi renkontis skanilon Frank Baldŭin. Dankon, Frank.
Uzante ĉi tiun ilon, mi povis eltiri tre malklarigitan VBA-kodon. Ĝi aspektis kiel ĉi tio:
La malklarigado estis farita fare de profesiuloj en ilia kampo. Mi estis impresita!
Atakantoj vere kapablas malklarigi kodon, ne kiel miaj klopodoj krei Evil.doc. Bone, en la sekva parto ni elprenos niajn VBA-sencimsilojn, plonĝos iom pli profunde en ĉi tiun kodon kaj komparos nian analizon kun la rezultoj de HA.
fonto: www.habr.com