See artikkel on osa failivaba pahavara sarjast. Kõik teised sarja osad:
- Tabamatu pahavara seiklused, II osa: peidetud VBA-skriptid (oleme siin)
Olen saidi fänn (hübriidanalüüs, edaspidi HA). See on omamoodi pahavara loomaaed, kus saate metsikuid "kiskjaid" ohutult ja ohutust kaugusest ilma rünnata jälgida. HA käitab pahavara turvalistes keskkondades, salvestab süsteemikõned, loodud failid ja Interneti-liikluse ning annab teile kõik need tulemused iga analüüsitava proovi kohta. Nii ei pea te oma aega ja energiat raiskama segadusse segava koodi väljaselgitamiseks, vaid saate kohe aru kõigist häkkerite kavatsustest.
Minu tähelepanu köitnud HA-näited kasutavad kas kodeeritud JavaScripti või Visual Basic for Applications (VBA) skripte, mis on manustatud makrodena Wordi või Exceli dokumentidesse ja lisatud andmepüügimeilidele. Avamisel käivitavad need makrod ohvri arvutis PowerShelli seansi. Häkkerid saadavad PowerShellile tavaliselt Base64 kodeeritud käskude voo. Seda kõike tehakse selleks, et teatud märksõnadele reageerivate veebifiltrite ja viirusetõrjetarkvara abil oleks rünnak raskesti tuvastatav.
Õnneks dekodeerib HA automaatselt Base64 ja kuvab kõik kohe loetavas vormingus. Põhimõtteliselt ei pea te keskenduma sellele, kuidas need skriptid töötavad, sest näete jooksvate protsesside täielikku käsuväljundit HA vastavas jaotises. Vaata näidet allpool:
Hübriidanalüüs peatab PowerShellile saadetud Base64 kodeeritud käsud:
...ja seejärel dekodeerib need teie jaoks. #maagiliselt
В Lõin PowerShelli seansi käitamiseks oma pisut segatud JavaScripti konteineri. Minu skript, nagu paljud PowerShellil põhinevad pahavarad, laadib seejärel kaugveebisaidilt alla järgmise PowerShelli skripti. Seejärel laadisin näiteks ühe kahjutu PS-i, mis printis ekraanile sõnumi. Kuid ajad muutuvad ja nüüd teen ettepaneku muuta stsenaarium keerulisemaks.
PowerShell Empire ja Reverse Shell
Selle harjutuse üks eesmärke on näidata, kui (suhteliselt) hõlpsalt saab häkker mööda minna klassikalisest perimeetri kaitsest ja viirusetõrjest. Kui minusugune programmeerimisoskusteta IT-blogija saab sellega hakkama paari õhtuga (täiesti tuvastamata, FUD), kujutage ette noore häkkeri võimeid, kes sellest huvitatud on!
Ja kui olete IT-turbe pakkuja, kuid teie juht pole nende ohtude võimalikest tagajärgedest teadlik, näidake talle seda artiklit.
Häkkerid unistavad pääseda otse ligi ohvri sülearvutile või serverile. Seda on väga lihtne teha: häkker peab vaid hankima mõned konfidentsiaalsed failid tegevjuhi sülearvutisse.
Kuidagi ma juba PowerShell Empire'i tootmisjärgse käitusaja kohta. Tuletame meelde, mis see on.
See on sisuliselt PowerShellil põhinev läbitungimistesti tööriist, mis võimaldab paljude muude funktsioonide kõrval hõlpsasti pöördkesta käitada. Täpsemalt saate seda uurida aadressil .
Teeme väikese katse. Seadistasin Amazon Web Services pilves turvalise pahavara testimise keskkonna. Võite järgida minu eeskuju, et näidata kiiresti ja ohutult selle haavatavuse toimivat näidet (ja mitte lasta end vallandada viiruste levitamise eest ettevõtte piires).
Kui käivitate PowerShell Empire'i konsooli, näete midagi sellist:
Kõigepealt käivitate oma häkkerarvutis kuulamisprotsessi. Sisestage käsk "kuulaja" ja määrake oma süsteemi IP-aadress, kasutades käsku "set Host". Seejärel käivitage kuulaja protsess käsuga "execute" (allpool). Seega hakkate omalt poolt kaugkestalt võrguühendust ootama:
Teise poole jaoks peate genereerima agendikoodi, sisestades käsu "käivitaja" (vt allpool). See loob kaugagendi jaoks PowerShelli koodi. Pange tähele, et see on kodeeritud Base64-s ja esindab kasuliku koormuse teist faasi. Teisisõnu, minu JavaScripti kood tõmbab nüüd selle agendi PowerShelli käivitama, selle asemel, et ekraanile kahjutult teksti printida, ja loob ühenduse meie kaug-PSE-serveriga, et käivitada vastupidine kest.
Tagurpidi kesta maagia. See kodeeritud PowerShelli käsk loob ühenduse minu kuulajaga ja käivitab kaugshelli.
Selle katse näitamiseks võtsin endale süütu ohvri rolli ja avasin Evil.doci, käivitades sellega meie JavaScripti. Kas mäletate esimest osa? PowerShell on konfigureeritud nii, et see takistab selle akna avanemist, nii et ohver ei märka midagi ebatavalist. Kui aga avate Windowsi tegumihalduri, näete taustal PowerShelli protsessi, mis nagunii enamikule inimestele häiret ei tekita. Sest see on lihtsalt tavaline PowerShell, kas pole?
Nüüd, kui käivitate Evil.doci, loob peidetud taustaprotsess ühenduse PowerShell Empire'i kasutava serveriga. Pannes pähe oma valge Pentester häkkerimütsi, naasin Empire PowerShelli konsooli ja näen nüüd teadet, et mu kaugagent on aktiivne.
Seejärel sisestasin PSE-s kesta avamiseks käsu "interact" – ja seal ma olingi! Ühesõnaga, ma häkkisin Taco serverisse, mille ise kunagi seadistasin.
See, mida ma just demonstreerisin, ei nõua teilt nii palju tööd. Seda kõike saate hõlpsasti teha oma ühe-kahetunnise lõunapausi ajal, et oma infoturbealaseid teadmisi täiendada. See on ka suurepärane viis mõista, kuidas häkkerid teie välist turvapiiret mööda hiilivad ja teie süsteemidesse sisenevad.
IT-juhid, kes arvavad, et on loonud läbitungimatu kaitse igasuguse sissetungi vastu, peavad seda tõenäoliselt ka harivaks – see tähendab, kui suudate veenda neid teiega piisavalt kaua istuma.
Tuleme tagasi reaalsusesse
Nagu ma eeldasin, on tõeline häkkimine, mis on tavakasutajale nähtamatu, lihtsalt variatsioon sellest, mida ma just kirjeldasin. Järgmise väljaande jaoks materjali kogumiseks hakkasin otsima HA-teemalist näidist, mis toimiks samamoodi nagu minu leiutatud näide. Ja ma ei pidanud seda kaua otsima - saidil on sarnase ründetehnika jaoks palju võimalusi.
Pahavara, mille lõpuks HA-st leidsin, oli VBA-skript, mis oli manustatud Wordi dokumenti. See tähendab, et ma ei pea isegi doc-laiendit võltsima, see pahavara on tõesti tavalise välimusega Microsoft Wordi dokument. Kui olete huvitatud, valisin selle näidise nn .
Sain kiiresti teada, et pahatahtlikke VBA skripte sageli dokumendist otse välja tõmmata ei saa. Häkkerid tihendavad ja peidavad need, nii et need pole Wordi sisseehitatud makrotööriistades nähtavad. Selle eemaldamiseks vajate spetsiaalset tööriista. Õnneks sattusin skanneri peale Frank Baldwin. Aitäh, Frank.
Seda tööriista kasutades suutsin välja tõmmata väga hägustatud VBA-koodi. See nägi välja umbes selline:
Hägustamise tegid oma ala professionaalid. Ma olin muljet avaldatud!
Ründajad oskavad koodi hägustada, mitte nagu minu pingutused Evil.doci loomisel. Olgu, järgmises osas võtame välja oma VBA silujad, sukeldume sellesse koodi veidi sügavamale ja võrdleme oma analüüsi HA tulemustega.
Allikas: www.habr.com