Tha an artaigil seo mar phàirt den t-sreath Fileless Malware. A h-uile pàirt eile den t-sreath:
- Elusive Malware Adventures Pàirt II: Sgriobtaichean VBA falaichte (tha sinn an seo)
Tha mi dèidheil air an làrach (mion-sgrùdadh tar-chinealach, HA an seo). Is e seo seòrsa de sùgh malware far am faic thu gu sàbhailte “creachadairean” fiadhaich bho astar sàbhailte gun a bhith fo ionnsaigh. Bidh HA a 'ruith malware ann an àrainneachdan tèarainte, a' clàradh fiosan siostam, faidhlichean air an cruthachadh, agus trafaig eadar-lìn, agus a 'toirt thugaibh na toraidhean sin uile airson gach sampall a bhios e a' sgrùdadh. Mar sin, chan urrainn dhut do chuid ùine agus oidhirp a chaitheamh a ’fuasgladh a’ chòd obfuscated thu fhèin, ach sa bhad tuig a h-uile rùintean aig hackers.
Bidh na h-eisimpleirean HA a ghlac m’ aire a’ cleachdadh an dàrna cuid sgriobtaichean le còd JavaScript no Visual Basic for Applications (VBA) freumhaichte mar macros ann an sgrìobhainnean Word no Excel agus ceangailte ri puist-d phishing. Nuair a thèid fhosgladh, bidh na macros sin a’ tòiseachadh seisean PowerShell air coimpiutair an neach-fulaing. Mar as trice bidh hackers a’ cur sruth àithne le còd Base64 gu PowerShell. Tha seo uile air a dhèanamh gus an ionnsaigh a dhèanamh duilich a lorg le sìoltachain lìn agus bathar-bog antivirus a fhreagras prìomh fhaclan sònraichte.
Gu fortanach, bidh HA gu fèin-obrachail a’ còdachadh Base64 agus a’ sealltainn a h-uile càil sa bhad ann an cruth a ghabhas leughadh. Gu bunaiteach, chan fheum thu fòcas a chuir air mar a tha na sgriobtaichean sin ag obair, oir chì thu làn thoraidhean nan òrdughan airson pròiseasan ruith anns an roinn HA co-fhreagarrach. Faic eisimpleir gu h-ìosal:
Bidh parsadh tar-chinealach a’ toirt a-steach òrdughan còdaichte Base64 air an cur gu PowerShell:
... agus an uairsin gan còdachadh dhut. #draoidheil
В Chruthaich mi an soitheach JavaScript agam fhìn a bha beagan obfuscated gus seisean PowerShell a ruith. Bidh an sgriobt agam an uairsin, mar tòrr malware stèidhichte air PowerShell, a ’luchdachadh sìos an sgriobt PowerShell a leanas bho làrach-lìn iomallach. An uairsin, mar eisimpleir, luchdaich mi sìos PS gun chron a chlò-bhualadh teachdaireachd air an sgrion. Ach tha amannan ag atharrachadh, agus a-nis tha mi a 'moladh an suidheachadh a dhèanamh nas duilghe.
PowerShell Empire agus Reverse Shell
Is e aon de na h-adhbharan aig an eacarsaich seo a bhith a’ sealltainn cho (gu ìre mhath) cho furasta ‘s a tha e do neach-tarraing a dhol seachad air dìonan iomaill clasaigeach agus antiviruses. Mas urrainn dha blogair IT gun sgilean prògramadh, mar mise, ann am feasgar no dhà (làn neo-aithnichte, FUD), smaoinich air na cothroman a th’ aig neach-tarraing òg le ùidh!
Agus mas e neach tèarainteachd IT a th’ annad, ach nach eil am manaidsear agad a’ tuigsinn a’ bhuaidh a dh’ fhaodadh a bhith aig na bagairtean sin, dìreach seall dhaibh an artaigil seo.
Bidh hackers a’ bruadar mu bhith a’ faighinn cothrom dìreach air laptop no frithealaiche neach-fulaing. Tha seo gu math furasta a dhèanamh: chan eil a dhìth air neach-tarraing ach beagan fhaidhlichean dìomhair fhaighinn air laptop an Stiùiriche.
Ann an dòigh air choreigin tha mi mar-thà mun àm ruith PowerShell Empire iar-riochdachaidh. Cuimhnicheamaid dè th' ann.
Tha e gu bunaiteach na inneal deuchainn treòrachaidh stèidhichte air PowerShell a tha, am measg mòran fheartan eile, ga dhèanamh furasta slige cùil a ruith. Faodaidh tu sgrùdadh nas mionaidiche a dhèanamh air aig .
Feuch an dèan sinn beagan deuchainn. Stèidhich mi àrainneachd thèarainte airson deuchainn malware ann an sgòth Seirbheisean Lìn Amazon. Faodaidh tu an eisimpleir agam a leantainn gus eisimpleir obrach den so-leòntachd seo a nochdadh gu sgiobalta agus gu sàbhailte (agus gun a bhith air do losgadh airson bhìorasan a ruith taobh a-staigh iomall na h-iomairt).
Ma ruitheas tu consol PowerShell Empire, chì thu rudeigin mar seo:
An toiseach, tòisichidh tu air a’ phròiseas èisteachd air an inneal hacker agad. Cuir a-steach an àithne “neach-èisteachd”, agus sònraich seòladh IP an t-siostaim agad a’ cleachdadh “set Host”. An uairsin tòisich am pròiseas èisteachd leis an àithne “cuir an gnìomh” (gu h-ìosal). Mar sin, air do thaobh, tòisichidh tu a 'feitheamh airson ceangal lìonra bho shlige iomallach:
Airson an taobh eile, feumaidh tu còd àidseant a ghineadh le bhith a’ dol a-steach don àithne “launcher” (faic gu h-ìosal). Ginidh seo an còd PowerShell airson an àidseant iomallach. Thoir an aire gu bheil e air a chòdachadh le Base64 agus a’ riochdachadh an dàrna ìre den uallach pàighidh. Ann am faclan eile, bidh an còd JavaScript agam a-nis a’ tarraing an àidseant seo gus PowerShell a ruith an àite a bhith a’ taisbeanadh teacsa gun chron air an sgrion agus a’ ceangal ris an t-seirbheisiche PSE iomallach againn gus an t-slige cùil a ruith.
Reverse slige draoidheachd. Bidh an àithne PowerShell còdaichte seo a’ ceangal ris an neach-èisteachd agam agus a’ tòiseachadh slige iomallach.
Gus an deuchainn seo a shealltainn dhut, ghabh mi dreuchd neach-fulang neo-chiontach agus dh’ fhosgail mi Evil.doc, mar sin a’ ruith ar JavaScript. Cuimhnich air a’ chiad phàirt? Chaidh PowerShell a dhealbhadh gus nach nochd e, agus mar sin chan fhaic an neach-fulang dad a-mach às an àbhaist. Ach, ma dh’ fhosglas tu Manaidsear Gnìomha Windows, chì thu pròiseas PowerShell cùl-fhiosrachaidh, nach bi fhathast ag adhbhrachadh clisgeadh sam bith airson a’ mhòr-chuid. Leis gur e PowerShell cunbhalach a th’ ann, nach e?
A-nis, nuair a ruitheas tu Evil.doc, ceangailidh pròiseas cùl-fhiosrachaidh falaichte ris an fhrithealaiche a tha a’ ruith PowerShell Empire. A’ cur air ad geal hacker-pentester, thill mi gu consol PowerShell Empire, agus a-nis tha mi a’ faicinn teachdaireachd gu bheil an neach-ionaid iomallach agam gnìomhach.
An uairsin thaidh mi an àithne “interact” gus slige fhosgladh ann am PSE - agus seo mi! Ann an ùine ghoirid, chuir mi a-steach don t-seirbheisiche Taco a chuir mi air bhonn mi fhìn o chionn ùine.
Chan eil na tha mi air a thaisbeanadh dìreach a’ cur feum air tòrr obrach bhuat. Faodaidh tu seo a dhèanamh gu furasta aig àm lòn airson uair no dhà gus d’ eòlas air tèarainteachd fiosrachaidh a leasachadh. Tha e cuideachd na dhòigh math air tuigsinn mar a bhios hackers a’ dol seachad air dìonan tèarainteachd taobh a-muigh agus a’ dol a-steach do na siostaman agad.
Is dòcha gum bi manaidsearan IT a tha den bheachd gu bheil iad air dìon do-chreidsinneach a thogail an-aghaidh sàrachadh de sheòrsa sam bith ga fhaighinn foghlaim cuideachd - uill, mas urrainn dhut toirt a chreidsinn orra suidhe ri do thaobh fada gu leòr, gu dearbh.
Air ais gu fìrinn
Mar a bha mi an dùil, tha an fhìor hack, do-fhaicsinneach don neach-cleachdaidh cuibheasach, dìreach mar atharrachadh air na thuirt mi. Gus stuth a chruinneachadh airson an ath fhoillseachadh, thòisich mi a 'coimhead airson sampall air HA, a tha ag obair san aon dòigh ris an eisimpleir a chruthaich mi. Agus cha robh agam ri coimhead air a shon airson ùine mhòr - tha mòran roghainnean ann airson a leithid de dhòigh ionnsaigh air an làrach.
Is e an malware a lorg mi air HA sgriobt VBA a chaidh a stèidheachadh ann an sgrìobhainn Word. Is e sin, chan fheum mi eadhon an leudachadh doc a bhriseadh, is e an malware seo an sgrìobhainn Microsoft Word as cumanta. Air eagal gu bheil thu a’ faighneachd, thagh mi am pàtran seo ris an canar .
Dh’ ionnsaich mi gu sgiobalta nach urrainn dhut gu tric sgriobtaichean VBA droch-rùnach a tharraing gu dìreach bho sgrìobhainn. Bidh hackers gan teannachadh agus gan falach, agus chan eil iad rim faicinn ann an innealan macro togte Word. Bidh feum agad air inneal sònraichte airson a tharraing. Gu fortanach thàinig mi tarsainn air sganair Frank Baldwin. Tapadh leibh Frank.
A’ cleachdadh an inneil seo, bha e comasach dhomh còd VBA a bha gu math obfuscated a tharraing a-mach. Bha e a’ coimhead rudeigin mar seo:
Chaidh obfuscation a dhèanamh le proifeiseantaich san raon aca. Bha mi air mo ghlacadh!
Tha an luchd-ionnsaigh fìor mhath air còd a chuir an aghaidh, chan ann mar na h-oidhirpean agam air Evil.doc a chruthachadh. Gu ceart, anns an ath phàirt, gheibh sinn na debuggers VBA againn, cladhach beagan nas doimhne a-steach don chòd seo, agus dèan coimeas eadar ar mion-sgrùdadh agus toraidhean HA.
Source: www.habr.com