Wannan labarin wani bangare ne na jerin Malware mara Fayil. Duk sauran sassan jerin:
- Kasadar da Malware na Elusive, Sashe na II: Hidden VBA Rubutun (muna nan)
Ni mai son shafin ne (binciken matasan, nan gaba HA). Wannan nau'in gidan zoo na malware ne inda zaku iya lura da “mafarauta” daji lafiya daga nesa mai aminci ba tare da an kawo muku hari ba. HA yana gudanar da malware a cikin amintattun wurare, yin rikodin kiran tsarin, ƙirƙira fayiloli da zirga-zirgar Intanet, kuma yana ba ku duk waɗannan sakamakon ga kowane samfurin da ya bincika. Ta wannan hanyar, ba dole ba ne ku ɓata lokacinku da ƙarfin ku don ƙoƙarin gano lambar ruɗani da kanku, amma nan da nan zaku iya fahimtar duk niyyar hackers.
Misalan HA waɗanda suka ja hankalina suna amfani da ko dai codeed JavaScript ko Visual Basic for Applications (VBA) rubutun da aka saka a matsayin macros a cikin takaddun Kalma ko Excel kuma an haɗa su zuwa imel ɗin phishing. Lokacin buɗewa, waɗannan macros suna fara zaman PowerShell akan kwamfutar wanda aka azabtar. Hackers yawanci suna aika rafin umarni na Base64 zuwa PowerShell. Ana yin wannan ne don yin wahalar gano harin ta hanyar tacewa ta yanar gizo da software na riga-kafi waɗanda ke amsa wasu kalmomi.
Sa'ar al'amarin shine, HA yana yanke Base64 ta atomatik kuma yana nuna komai a cikin tsarin da za'a iya karantawa nan da nan. Mahimmanci, ba dole ba ne ka mai da hankali kan yadda waɗannan rubutun ke aiki saboda za ku iya ganin cikakken fitarwa na umarni don tafiyar matakai a cikin sashin da ya dace na HA. Dubi misali a ƙasa:
Ƙididdigar ƙira ta hana Base64 rufaffiyar umarni da aka aika zuwa PowerShell:
... sa'an nan kuma yanke muku su. #sihiri
В Na ƙirƙiri kwandon JavaScript na da ɗan ruɗe don gudanar da zaman PowerShell. Rubutun nawa, kamar yawancin malware na tushen PowerShell, sannan zazzage wannan rubutun PowerShell daga gidan yanar gizo mai nisa. Sannan, a matsayin misali, na loda PS mara lahani wanda ya buga saƙo akan allon. Amma lokuta suna canzawa, kuma yanzu na ba da shawarar dagula lamarin.
PowerShell Empire da Reverse Shell
Daya daga cikin makasudin wannan darasi shine a nuna yadda (dan kadan) cikin sauki dan dan gwanin kwamfuta zai iya ketare kariyar kariya da riga-kafi. Idan mai rubutun ra'ayin yanar gizo na IT ba tare da ƙwarewar shirye-shirye ba, kamar ni, zai iya yin hakan a cikin maraice biyu (cikakken ba a gano shi ba, FUD), yi tunanin iyawar matashin dan gwanin kwamfuta mai sha'awar wannan!
Kuma idan kai mai ba da tsaro ne na IT, amma manajan ku bai san illar da waɗannan barazanar ke haifarwa ba, kawai ku nuna masa wannan labarin.
Hackers suna mafarkin samun damar shiga kwamfutar tafi-da-gidanka ko uwar garken wanda abin ya shafa kai tsaye. Wannan abu ne mai sauqi qwarai don yin: duk abin da dan gwanin kwamfuta ke buƙatar yi shine samun ƴan fayilolin sirri a kwamfutar tafi-da-gidanka na Shugaba.
Ko ta yaya na riga game da PowerShell Empire post-samar lokacin gudu. Mu tuna mene ne.
Da gaske kayan aikin gwaji ne na tushen PowerShell wanda, a tsakanin sauran fasalulluka da yawa, yana ba ku damar gudanar da juzu'i cikin sauƙi. Kuna iya karanta shi daki-daki a .
Bari mu yi ɗan gwaji. Na kafa amintaccen yanayin gwajin malware a cikin girgijen Sabis na Yanar Gizo na Amazon. Kuna iya bin misalina don nuna sauri da aminci a nuna misalin aiki na wannan raunin (kuma kar a kore ku don gudanar da ƙwayoyin cuta a cikin kewayen kasuwancin).
Idan kun ƙaddamar da na'urar wasan bidiyo ta PowerShell Empire, za ku ga wani abu kamar haka:
Da farko za ku fara aikin saurare a kan kwamfutar ku ta hacker. Shigar da umurnin "mai sauraro", kuma saka adireshin IP na tsarin ku ta amfani da "set Mai watsa shiri". Sa'an nan kuma fara aikin mai sauraro tare da umarnin "execute" (a kasa). Don haka, a ɓangarenku, zaku fara jiran haɗin hanyar sadarwa daga harsashi mai nisa:
Don ɗayan ɓangaren, kuna buƙatar ƙirƙirar lambar wakili ta shigar da umarnin "launcher" (duba ƙasa). Wannan zai samar da lambar PowerShell don wakili mai nisa. Lura cewa an lulluɓe shi a cikin Base64, kuma yana wakiltar kashi na biyu na ɗaukar nauyi. A takaice dai, lambar JavaScript na yanzu za ta ja wannan wakili don gudanar da PowerShell maimakon buga rubutu marar lahani zuwa allon, kuma ya haɗa zuwa uwar garken PSE ɗin mu mai nisa don gudanar da harsashi na baya.
Sihiri na baya harsashi. Wannan umarnin PowerShell mai lamba zai haɗa zuwa mai saurarona kuma ya ƙaddamar da harsashi mai nisa.
Don nuna muku wannan gwaji, na ɗauki nauyin wanda aka azabtar da shi kuma na buɗe Evil.doc, ta haka ne na ƙaddamar da JavaScript. Ka tuna kashi na farko? An saita PowerShell don hana taga ta tashi, don haka wanda aka azabtar ba zai lura da wani sabon abu ba. Koyaya, idan ka buɗe Manajan Aiki na Windows, zaku ga tsarin PowerShell na baya wanda ba zai haifar da ƙararrawa ga yawancin mutane ba. Domin kawai PowerShell na yau da kullun, ko ba haka ba?
Yanzu lokacin da kake gudanar da Evil.doc, tsarin ɓoye na baya zai haɗa zuwa uwar garken da ke gudana PowerShell Empire. Sanye da farar hular hacker dina, na koma PowerShell Empire console kuma yanzu ga saƙo cewa wakilina na nesa yana aiki.
Sai na shigar da umarnin "ma'amala" don buɗe harsashi a PSE - kuma ina! A takaice, na yi hacking na Taco uwar garken da na kafa kaina sau ɗaya.
Abin da na nuna ba ya buƙatar aiki mai yawa daga ɓangaren ku. Kuna iya yin wannan duka cikin sauƙi yayin hutun abincin rana na awa ɗaya ko biyu don haɓaka ilimin tsaro na bayananku. Hakanan babbar hanya ce don fahimtar yadda masu satar bayanai ke ƙetare iyakokin tsaro na waje da shiga cikin tsarin ku.
Manajojin IT da suke tunanin sun gina wani tsaro mai yuwuwa daga duk wani kutse za su iya samun ilimi - wato, idan za ku iya shawo kansu su zauna tare da ku tsawon lokaci.
Mu dawo kan gaskiya
Kamar yadda na yi tsammani, ainihin hack, ganuwa ga matsakaita mai amfani, shine kawai bambancin abin da na bayyana. Don tattara abu don bugu na gaba, na fara neman samfurin akan HA wanda ke aiki daidai da misalin da na ƙirƙira. Kuma ba sai na nema na dogon lokaci ba - akwai zaɓuɓɓuka da yawa don irin wannan dabarar kai hari akan rukunin yanar gizon.
malware da na samu a ƙarshe akan HA rubutun VBA ne wanda aka saka a cikin takaddar Kalma. Wato, ba ma buƙatar yin karyar tsawo na doc, wannan malware da gaske takaddar Microsoft Word ce ta al'ada. Idan kuna sha'awar, na zaɓi wannan samfurin da ake kira .
Na koyi da sauri cewa sau da yawa ba za ku iya cire rubutun VBA masu ƙeta kai tsaye daga takarda ba. Masu satar bayanai suna damfara da ɓoye su don kada a iya ganin su a cikin kayan aikin macro na cikin Word. Kuna buƙatar kayan aiki na musamman don cire shi. Na yi sa'a na ci karo da na'urar daukar hoto Frank Baldwin. Na gode, Frank.
Yin amfani da wannan kayan aikin, na sami damar fitar da lambar VBA da ba ta da kyau sosai. Ya kasance kamar haka:
Kwararru a fannin su ne suka yi wannan tonon silili. Na burge!
Maharan suna da kyau kwarai da gaske wajen toshe lambar, ba kamar ƙoƙarina na ƙirƙirar Evil.doc ba. Da kyau, a cikin sashi na gaba za mu fitar da masu gyara VBA ɗin mu, nutse ɗan zurfi cikin wannan lambar kuma kwatanta binciken mu tare da sakamakon HA.
source: www.habr.com