Dit artikel is diel fan 'e Fileless Malware-searje. Alle oare dielen fan 'e searje:
- Adventures of the Elusive Malware, Part II: Hidden VBA Scripts (wy binne hjir)
Ik bin in fan fan de side (hybride analyze, hjirnei HA). Dit is in soarte fan malware-dierentuin wêr't jo wylde "rôfdieren" feilich kinne observearje fan in feilige ôfstân sûnder oanfallen te wurden. HA rint malware yn feilige omjouwings, registrearret systeemoproppen, oanmakke bestannen en ynternetferkear, en jout jo al dizze resultaten foar elke stekproef dy't it analysearret. Op dizze manier hoege jo jo tiid en enerzjy net te fergrieme om sels de betiizjende koade út te finen, mar kinne jo alle bedoelingen fan hackers fuortendaliks begripe.
De HA-foarbylden dy't myn oandacht fongen brûke of kodearre JavaScript of Visual Basic for Applications (VBA) skripts ynbêde as makro's yn Word- of Excel-dokuminten en taheakke oan phishing-e-postberjochten. As iepene, begjinne dizze makro's in PowerShell-sesje op 'e kompjûter fan it slachtoffer. Hackers stjoere typysk in Base64-kodearre stream fan kommando's nei PowerShell. Dit alles wurdt dien om de oanfal lestich te ûntdekken troch webfilters en antivirussoftware dy't reagearje op bepaalde kaaiwurden.
Gelokkich dekodearret HA automatysk Base64 en lit alles direkt yn in lêsber formaat sjen. Yn essinsje hoege jo net te fokusjen op hoe't dizze skripts wurkje, om't jo de folsleine kommando-útfier foar de rinnende prosessen kinne sjen yn 'e oerienkommende seksje fan HA. Sjoch foarbyld hjirûnder:
Hybride analyze ûnderskept Base64 kodearre kommando's stjoerd nei PowerShell:
...en dekodearret se dan foar jo. #magysk
В Ik haw myn eigen wat obfuscated JavaScript-container makke om in PowerShell-sesje út te fieren. Myn skript, lykas in protte PowerShell-basearre malware, downloadt dan it folgjende PowerShell-skript fan in webside op ôfstân. Doe haw ik as foarbyld in harmless PS laden dy't in berjocht op it skerm printe. Mar tiden feroarje, en no stel ik foar om it senario te komplisearjen.
PowerShell Ryk en Reverse Shell
Ien fan 'e doelen fan dizze oefening is om sjen te litten hoe't (relatyf) maklik in hacker klassike perimeterferdigeningen en anty-firus kin omgean. As in IT-blogger sûnder programmearfeardigens, lykas ik, it yn in pear jûnen kin dwaan (folslein net ûntdutsen, FUD), stel jo de mooglikheden foar fan in jonge hacker dy't ynteressearre is yn dit!
En as jo in IT-feiligensprovider binne, mar jo manager is net bewust fan 'e mooglike gefolgen fan dizze bedrigingen, lit him dit artikel gewoan sjen.
Hackers dreame fan direkte tagong ta de laptop of server fan it slachtoffer. Dit is heul ienfâldich om te dwaan: alles wat in hacker hoecht te dwaan is in pear fertroulike bestannen op 'e laptop fan' e CEO te krijen.
Op ien of oare manier al oer de PowerShell Empire post-produksje runtime. Lit ús ûnthâlde wat it is.
It is yn wêzen in PowerShell-basearre ark foar penetraasjetesten dat, ûnder in protte oare funksjes, jo maklik in omkearde shell kinne útfiere. Jo kinne it yn mear detail studearje op .
Litte wy in lyts eksperimint dwaan. Ik haw in feilige malware-testomjouwing ynsteld yn 'e wolk fan Amazon Web Services. Jo kinne myn foarbyld folgje om fluch en feilich in wurkjend foarbyld fan dizze kwetsberens sjen te litten (en net ûntslein wurde foar it útfieren fan firussen binnen de ûndernimmingsperimeter).
As jo de PowerShell Empire-konsole starte, sille jo sa'n ding sjen:
Earst begjinne jo it harkerproses op jo hackerkomputer. Fier it kommando "harker" yn en spesifisearje it IP-adres fan jo systeem mei "set Host". Begjin dan it harkerproses mei it kommando "útfiere" (hjirûnder). Sa sille jo fan jo kant begjinne te wachtsjen op in netwurkferbining fan 'e shell op ôfstân:
Foar de oare kant moatte jo in agentkoade generearje troch it kommando "launcher" yn te fieren (sjoch hjirûnder). Dit sil PowerShell-koade generearje foar de agent op ôfstân. Tink derom dat it is kodearre yn Base64, en stiet foar de twadde faze fan 'e lading. Mei oare wurden, myn JavaScript-koade sil no dizze agint lûke om PowerShell út te fieren ynstee fan ûnskuldich tekst op it skerm te printsjen, en ferbine mei ús PSE-tsjinner op ôfstân om in omkearde shell út te fieren.
De magy fan reverse shell. Dit kodearre PowerShell-kommando sil ferbine mei myn harker en in shell op ôfstân starte.
Om jo dit eksperimint sjen te litten, haw ik de rol fan it ûnskuldige slachtoffer oannommen en Evil.doc iepene, en dêrmei ús JavaScript lansearre. Unthâld it earste diel? PowerShell is konfigurearre om te foarkommen dat syn finster opdûkt, sadat it slachtoffer neat ûngewoans fernimme sil. As jo lykwols de Windows Task Manager iepenje, sille jo in eftergrûn PowerShell-proses sjen dat yn elk gefal gjin alarm foar de measte minsken feroarsaket. Om't it gewoan gewoan PowerShell is, is it net?
No as jo Evil.doc útfiere, sil in ferburgen eftergrûnproses ferbine mei de server mei PowerShell Empire. Doe't ik myn wite pentester hacker hoed oansette, kaam ik werom nei de PowerShell Empire-konsole en sjoch no in berjocht dat myn agent op ôfstân aktyf is.
Ik ynfierde doe it kommando "ynteraksje" om in shell te iepenjen yn PSE - en dêr wie ik! Koartsein, ik ha de Taco-tsjinner hacked dy't ik sels ien kear ynsteld haw.
Wat ik krekt demonstrearre, fereasket net safolle wurk fan jo kant. Jo kinne dit alles maklik dwaan yn jo lunchpauze foar ien of twa oeren om jo kennis fan ynformaasjefeiligens te ferbetterjen. It is ek in geweldige manier om te begripen hoe't hackers jo eksterne feiligensperimeter omgeane en yn jo systemen komme.
IT-managers dy't tinke dat se in ûntrochsichtbere ferdigening hawwe boud tsjin elke ynbraak, sille it wierskynlik ek learsum fine - dat is, as jo se kinne oertsjûgje om lang genôch by jo te sitten.
Litte wy werom nei de realiteit
Lykas ik ferwachte, in echte hack, ûnsichtber foar de gemiddelde brûker, is gewoan in fariaasje fan wat ik krekt beskreaun. Om materiaal te sammeljen foar de folgjende publikaasje, begon ik te sykjen nei in stekproef oer HA dy't op deselde manier wurket as myn útfûn foarbyld. En ik hoegde der net lang nei te sykjen - d'r binne in protte opsjes foar in ferlykbere oanfalstechnyk op 'e side.
De malware dy't ik úteinlik fûn op HA wie in VBA-skript dat wie ynbêde yn in Word-dokumint. Dat is, ik hoech de doc-útwreiding net iens te fake, dizze malware is wirklik in normaal útsjennd Microsoft Word-dokumint. As jo ynteressearre binne, keas ik dit foarbyld neamd .
Ik learde gau dat jo faaks net direkt kweade VBA-skripts kinne lûke út in dokumint. Hackers komprimearje en ferbergje se sadat se net sichtber binne yn Word's ynboude makro-ark. Jo sille in spesjaal ark nedich wêze om it te ferwiderjen. Lokkich kaam ik in scanner tsjin Frank Baldwin. Tankewol, Frank.
Mei dit ark koe ik heul obfuscated VBA-koade útlûke. It seach der sa út:
De obfuscation waard dien troch professionals op har mêd. Ik wie ûnder de yndruk!
Oanfallers binne wirklik goed yn 'e obfuscating koade, net lykas myn ynspannings by it meitsjen fan Evil.doc. Okee, yn it folgjende diel sille wy ús VBA-debuggers útnimme, in bytsje djipper yn dizze koade dûke en ús analyse fergelykje mei de HA-resultaten.
Boarne: www.habr.com