Tá an t-alt seo mar chuid den tsraith Fileless Malware. Gach cuid eile den tsraith:
- Eachtraí Malware elusive Cuid II: Scripteanna VBA Hidden (tá muid anseo)
Is lucht leanúna mé den suíomh (anailís hibrideach, HA anseo feasta). Is cineál zú malware é seo áit ar féidir leat "creachadóirí" fiáin a bhreathnú go sábháilte ó achar sábháilte gan ionsaí. Ritheann HA malware i dtimpeallachtaí slána, taifeadann glaonna córais, comhaid ginte, agus trácht idirlín, agus tugann sé na torthaí seo go léir duit le haghaidh gach sampla a dhéanann sé anailís. Mar sin, ní féidir leat do chuid ama agus iarrachtaí a chur amú ag réiteach an chóid obfuscated tú féin, ach láithreach a thuiscint go léir intinn hackers.
Úsáideann na samplaí HA a tharraing m'aird scripteanna códaithe JavaScript nó Visual Basic for Applications (VBA) atá leabaithe mar mhacraí i ndoiciméid Word nó Excel agus atá ceangailte le ríomhphoist fioscaireachta. Nuair a osclaítear iad, tosaíonn na macraí seo seisiún PowerShell ar ríomhaire an íospartaigh. De ghnáth cuireann hackers sruth ordaithe ionchódaithe Base64 chuig PowerShell. Déantar é seo go léir chun an t-ionsaí a dhéanamh deacair a bhrath ag scagairí gréasáin agus bogearraí antivirus a fhreagraíonn d'eochairfhocail áirithe.
Go fortunately, díchódaíonn HA Base64 go huathoibríoch agus taispeánann sé gach rud i bhfoirm inléite láithreach. Go bunúsach, ní gá duit díriú ar an gcaoi a n-oibríonn na scripteanna seo, mar beidh tú in ann aschur iomlán na n-orduithe le haghaidh próisis a reáchtáil sa rannóg HA comhfhreagrach a fheiceáil. Féach an sampla thíos:
Idircheapanna parsála hibrideacha Orduithe ionchódaithe Base64 a seoladh chuig PowerShell:
... agus ansin iad a dhíchódú ar do shon. #draíochta
В Chruthaigh mé mo choimeádán JavaScript féin a bhí beagán claonta chun seisiún PowerShell a reáchtáil. Ansin íoslódálann mo script, cosúil le go leor malware PowerShell-bhunaithe, an script PowerShell seo a leanas ó shuíomh Gréasáin iargúlta. Ansin, mar shampla, íoslódáil mé PS neamhdhíobhálach a phriontáil teachtaireacht ar an scáileán. Ach tá amanna ag athrú, agus anois tá sé beartaithe agam an cás a chasta.
Impireacht PowerShell agus Reverse Shell
Ceann de chuspóirí an chleachtaidh seo ná a thaispeáint cé chomh héasca (go réasúnta) atá sé do hackers cosaintí imlíne clasaiceacha agus frithvíreas a sheachbhóthar. Más féidir le blagaire TF gan scileanna ríomhchláraithe, cosúil liomsa, i gceann cúpla tráthnóna (go hiomlán neamhbhraite, FUD), samhlaigh na féidearthachtaí a bhaineann le hacadóir óg a bhfuil suim aige ann!
Agus más duine slándála TF tú, ach nach dtuigeann do bhainisteoir impleachtaí féideartha na mbagairtí seo, taispeáin an t-alt seo dóibh.
Tá aisling ag hackers rochtain dhíreach a fháil ar ríomhaire glúine nó freastalaí íospartaigh. Tá sé seo an-éasca a dhéanamh: níl ag teastáil ó hacker ná cúpla comhad rúnda a fháil ar ríomhaire glúine an POF.
Ar bhealach mé cheana féin faoi am rite iar-léiriúcháin PowerShell Empire. A ligean ar cuimhneamh cad é.
Go bunúsach is uirlis tástála treá PowerShell-bhunaithe é a fhágann go bhfuil sé éasca, i measc go leor gnéithe eile, blaosc droim ar ais a rith. Is féidir leat é a iniúchadh go mion ag .
Déanaimis turgnamh beag. Bhunaigh mé timpeallacht shlán le haghaidh tástála malware i scamall Seirbhísí Gréasáin Amazon. Is féidir leat mo shampla a leanúint chun sampla oibre den leochaileacht seo a thaispeáint go tapa agus go sábháilte (agus gan a bheith bréan as víris a rith laistigh d’imlíne an fhiontair).
Má ritheann tú an consól PowerShell Empire, feicfidh tú rud éigin mar seo:
Ar dtús, cuireann tú tús leis an bpróiseas éisteoir ar do mheaisín hacker. Cuir isteach an t-ordú "éisteoir", agus sonraigh seoladh IP do chórais ag baint úsáide as "set Host". Ansin cuir tús leis an bpróiseas éisteoir leis an ordú "fhorghníomhú" (thíos). Mar sin, ar do thaobh, tosóidh tú ag fanacht le nasc líonra ó bhlaosc cianda:
Ar an taobh eile, beidh ort cód gníomhaire a ghiniúint tríd an ordú "tosaitheoir" a iontráil (féach thíos). Ginfidh sé seo an cód PowerShell don ghníomhaire cianda. Tabhair faoi deara go bhfuil Base64 ionchódaithe agus gurb ionann é agus an dara céim den phálasta. I bhfocail eile, tarraingeoidh mo chód JavaScript an gníomhaire seo anois chun PowerShell a rith in ionad téacs a thaispeáint go neamhdhíobhálach ar an scáileán agus ceangal lenár bhfreastalaí iargúlta PSE chun an bhlaosc droim ar ais a rith.
Draíocht bhlaosc droim ar ais. Nascfaidh an t-ordú PowerShell ionchódaithe seo le mo éisteoir agus cuirfidh sé tús le blaosc cianda.
Chun an turgnamh seo a thaispeáint duit, ghlac mé le ról an íospartaigh neamhchiontach agus d'oscail Evil.doc, rud a reáchtáil ár JavaScript. Cuimhnigh an chéad chuid? Tá PowerShell cumraithe ionas nach mbeidh sé aníos, mar sin ní thabharfaidh an t-íospartach aon rud as an ngnáth faoi deara. Mar sin féin, má osclaíonn tú Bainisteoir Tasc Windows, feicfidh tú próiseas PowerShell cúlra, nach mbeidh ina chúis le haon aláram fós don chuid is mó. Toisc gur PowerShell rialta é, nach ea?
Anois, nuair a reáchtálann tú Evil.doc, nascfaidh próiseas cúlra i bhfolach leis an bhfreastalaí atá ag rith PowerShell Empire. Ag cur orm hata bán hacker pentester, d'fhill mé ar chonsól PowerShell Empire, agus anois feicim teachtaireacht go bhfuil mo ghníomhaire iargúlta gníomhach.
Ansin chlóscríobh mé an t-ordú "idirghníomhaithe" chun blaosc a oscailt in PSE - agus seo mise! I mbeagán focal, hacked mé isteach ar an bhfreastalaí Taco a bhunaigh mé mé féin tamall ó shin.
Ní éilíonn an méid atá léirithe agam ach an oiread sin oibre uait. Is féidir leat é seo go léir a dhéanamh go héasca ag sos lóin ar feadh uair an chloig nó dhó chun do chuid eolais ar shlándáil faisnéise a fheabhsú. Is bealach iontach é freisin chun tuiscint a fháil ar an gcaoi a sheachnaíonn hackers cosaintí imlíne slándála seachtracha agus a shileann siad isteach i do chórais.
Is dócha go bhfaighidh bainisteoirí TF, a cheapann go bhfuil cosaint dhobhriste tógtha acu in aghaidh aon chur isteach, go bhfuil sé oideachasúil chomh maith - go maith, más féidir leat a chur ina luí orthu suí in aice leat fada go leor, ar ndóigh.
Ar ais go réaltacht
Mar a bhí mé ag súil leis, níl sa bhfíor-hack, atá dofheicthe don úsáideoir meánach, ach athrú ar an méid a ndearna mé cur síos air. Chun ábhar a bhailiú don chéad fhoilseachán eile, thosaigh mé ag lorg sampla ar HA, a oibríonn ar an mbealach céanna le mo shampla invented. Agus níor ghá dom é a chuardach ar feadh i bhfad - tá go leor roghanna ann le haghaidh teicníc ionsaí den sórt sin ar an suíomh.
Is é an malware a chríochnaigh mé a aimsiú ar HA ná script VBA a bhí leabaithe i ndoiciméad Word. Is é sin, ní gá dom fiú an síneadh doc a bhréagadh, is é an malware seo an doiciméad Microsoft Word is gnáth-lorg. I gcás go bhfuil tú ag smaoineamh, roghnaigh mé an patrún seo ar a dtugtar .
D'fhoghlaim mé go tapa gur minic nach féidir leat scripteanna mailíseacha VBA a tharraingt go díreach ó dhoiciméad. Déanann hackers iad a chomhbhrú agus a cheilt, agus níl siad le feiceáil in uirlisí macra ionsuite Word. Beidh uirlis speisialta uait chun é a bhaint as. Ar ámharaí an tsaoil tháinig mé trasna ar scanóir Frank Baldwin. Go raibh maith agat Frank.
Ag baint úsáide as an uirlis seo, bhí mé in ann cód VBA a raibh an-fhollasú air a tharraingt amach. D'fhéach sé rud éigin mar seo:
Rinne gairmithe ina réimse féin cur i gcéill. Bhí mé an-tógtha!
Tá na hionsaitheoirí an-mhaith ag bac a chur ar chód, ní cosúil le mo chuid iarrachtaí ag cruthú Evil.doc. Ceart go leor, sa chéad chuid eile, gheobhaidh muid ár dífhabhtóirí VBA, tochailt beagán níos doimhne isteach sa chód seo, agus cuir ár n-anailís i gcomparáid leis na torthaí HA.
Foinse: will.com