Tämä artikkeli on osa Fileless Malware -sarjaa. Kaikki muut sarjan osat:
- Elusive Malware Adventures Osa II: Piilotetut VBA-skriptit (olemme täällä)
Olen sivuston fani (hybridianalyysi, jäljempänä HA). Tämä on eräänlainen haittaohjelmien eläintarha, jossa voit turvallisesti tarkkailla luonnonvaraisia "petoeläimiä" turvallisen etäisyyden päästä ilman hyökkäyksiä. HA käyttää haittaohjelmia suojatuissa ympäristöissä, tallentaa järjestelmäkutsut, luodut tiedostot ja Internet-liikenteen ja tuo kaikki nämä tulokset jokaiselle analysoimalleen näytteelle. Näin ollen et voi tuhlata aikaa ja vaivaa hämärän koodin ratkaisemiseen itse, vaan ymmärrät välittömästi kaikki hakkereiden aikeet.
Huomioni kiinnittäneet HA-esimerkit käyttävät joko koodattuja JavaScript- tai Visual Basic for Applications (VBA) -skriptejä, jotka on upotettu makroiksi Word- tai Excel-asiakirjoihin ja liitetty tietojenkalasteluviesteihin. Kun makrot avataan, ne aloittavat PowerShell-istunnon uhrin tietokoneessa. Hakkerit lähettävät yleensä PowerShelliin Base64-koodatun komentovirran. Tämä kaikki tehdään, jotta hyökkäystä olisi vaikea havaita verkkosuodattimilla ja virustorjuntaohjelmistoilla, jotka vastaavat tiettyihin avainsanoihin.
Onneksi HA purkaa Base64:n automaattisesti ja näyttää kaiken heti luettavassa muodossa. Pohjimmiltaan sinun ei tarvitse keskittyä näiden komentosarjojen toimintaan, koska voit nähdä käynnissä olevien prosessien komentojen täydelliset tulokset vastaavassa HA-osiossa. Katso esimerkki alla:
Hybridijäsennys sieppaa PowerShelliin lähetetyt Base64-koodatut komennot:
... ja sitten purkaa ne puolestasi. #maagisesti
В Loin oman hieman hämärän JavaScript-säilön suorittamaan PowerShell-istunnon. Skriptini lataa sitten, kuten monet PowerShell-pohjaiset haittaohjelmat, seuraavan PowerShell-komentosarjan etäsivustolta. Sitten esimerkkinä latasin vaarattoman PS:n, joka tulosti viestin näytölle. Mutta ajat muuttuvat, ja nyt ehdotan skenaarion monimutkaistamista.
PowerShell Empire ja Reverse Shell
Yksi tämän harjoituksen tavoitteista on näyttää, kuinka (suhteellisen) helppoa hakkerin on ohittaa klassiset kehäpuolustukset ja virustentorjunta. Jos IT-bloggaaja ilman ohjelmointitaitoja, kuten minä, voi parissa illassa (täysin havaitsematon, FUD), kuvittele kiinnostuneen nuoren hakkerin mahdollisuudet!
Ja jos olet tietoturvahenkilö, mutta esimiehesi ei ymmärrä näiden uhkien mahdollisia vaikutuksia, näytä hänelle tämä artikkeli.
Hakkerit haaveilevat päästäkseen suoraan uhrin kannettavaan tietokoneeseen tai palvelimeen. Tämä on erittäin helppo tehdä: hakkerin tarvitsee vain saada hallussaan muutama luottamuksellinen tiedosto toimitusjohtajan kannettavalla tietokoneella.
Jotenkin jo Tietoja jälkituotannon PowerShell Empire -ajoajasta. Muistetaan mikä se on.
Se on pohjimmiltaan PowerShell-pohjainen läpäisytestaustyökalu, joka monien muiden ominaisuuksien ohella helpottaa käänteisen kuoren suorittamista. Voit tutustua siihen tarkemmin osoitteessa .
Tehdään pieni kokeilu. Asetin suojatun ympäristön haittaohjelmien testausta varten Amazon Web Services -pilvessä. Voit seurata esimerkkiäni näyttääksesi nopeasti ja turvallisesti toimivan esimerkin tästä haavoittuvuudesta (etkä saa potkua viruksista yrityksen sisällä).
Jos käytät PowerShell Empire -konsolia, näet jotain tällaista:
Ensin aloitat kuunteluprosessin hakkerikoneellasi. Anna "listener"-komento ja määritä järjestelmäsi IP-osoite käyttämällä "set Host". Aloita sitten kuunteluprosessi "execute"-komennolla (alla). Siten puolellasi alat odottaa verkkoyhteyttä etäkuoresta:
Toiselle puolelle sinun on luotava agenttikoodi antamalla "laukaisin"-komento (katso alla). Tämä luo PowerShell-koodin etäagentille. Huomaa, että se on Base64-koodattu ja edustaa hyötykuorman toista vaihetta. Toisin sanoen JavaScript-koodini vetää nyt tämän agentin suorittamaan PowerShellin sen sijaan, että se näyttäisi harmittomasti tekstiä näytöllä ja muodostaa yhteyden PSE-etäpalvelimeemme suorittaakseen käänteisen kuoren.
Käänteinen kuori taikuutta. Tämä koodattu PowerShell-komento muodostaa yhteyden kuuntelijaani ja käynnistää etäkuoren.
Esittääkseni sinulle tämän kokeilun otin syyttömän uhrin roolin ja avasin Evil.doc-tiedoston ja otin siten JavaScriptin käyttöön. Muistatko ensimmäisen osan? PowerShell on määritetty olemaan ponnahdusikkuna, joten uhri ei huomaa mitään poikkeavaa. Jos kuitenkin avaat Windowsin Tehtävienhallinnan, näet taustalla PowerShell-prosessin, joka ei silti aiheuta hälytystä useimmille. Koska se on tavallinen PowerShell, eikö niin?
Nyt, kun suoritat Evil.doc-dokumentin, piilotettu taustaprosessi muodostaa yhteyden PowerShell Empire -palvelimeen. Laitan päähäni pentester-hakkerin valkoisen hatun, palasin PowerShell Empire -konsoliin ja nyt näen viestin, että etäagenttini on aktiivinen.
Sitten kirjoitin "interact"-komennon avatakseni kuoren PSE:ssä - ja tässä minä olen! Lyhyesti sanottuna, murtauduin itse jonkin aikaa sitten perustamaani Taco-palvelimeen.
Se, mitä juuri esitin, ei vaadi sinulta niin paljon työtä. Voit tehdä kaiken tämän helposti yhden tai kahden tunnin lounastauolla parantaaksesi tietoturvatietosi. Se on myös loistava tapa ymmärtää, kuinka hakkerit ohittavat ulkoiset suojakehät ja livahtavat järjestelmiisi.
IT-päälliköt, jotka luulevat rakentaneensa murtumattoman suojan kaikenlaista tunkeutumista vastaan, pitävät sitä luultavasti myös opettavaisena - jos voit tietysti saada heidät istumaan vierelläsi tarpeeksi kauan.
Takaisin todellisuuteen
Kuten odotin, todellinen hakkerointi, joka on näkymätön keskivertokäyttäjälle, on vain muunnelma juuri kuvailemastani. Jotta voisin kerätä materiaalia seuraavaa julkaisua varten, aloin etsiä HA-näytettä, joka toimii samalla tavalla kuin keksimani esimerkki. Ja minun ei tarvinnut etsiä sitä pitkään - sivustolla on monia vaihtoehtoja tällaiselle hyökkäystekniikalle.
Haittaohjelma, jonka löysin HA:sta, on VBA-skripti, joka oli upotettu Word-asiakirjaan. Eli minun ei tarvitse edes väärentää doc-laajennusta, tämä haittaohjelma on todellakin tavallisimman näköinen Microsoft Word -dokumentti. Jos mietit, valitsin tämän mallin nimeltä .
Opin nopeasti, että haitallisia VBA-komentotiedostoja ei useinkaan voi vetää suoraan asiakirjasta. Hakkerit pienentävät ja piilottavat ne, eivätkä ne näy Wordin sisäänrakennetuissa makrotyökaluissa. Tarvitset erityisen työkalun sen poistamiseen. Onneksi törmäsin skanneriin Frank Baldwin. Kiitos Frank.
Tämän työkalun avulla pystyin vetämään erittäin hämärän VBA-koodin. Se näytti jotakuinkin tältä:
Hämärtämisen tekivät alansa ammattilaiset. Olin vaikuttunut!
Hyökkääjät ovat todella hyviä koodin hämärtämisessä, toisin kuin yritykseni Evil.docin luomisessa. Okei, seuraavassa osassa hankimme VBA-debuggerimme, perehdymme hieman tähän koodiin ja vertaamme analyysiämme HA-tuloksiin.
Lähde: will.com