He ʻāpana kēia ʻatikala o ka moʻo Fileless Malware. ʻO nā ʻāpana ʻē aʻe a pau o ka moʻo:
- Adventures of the Elusive Malware, Māhele II: Huna VBA Scripts (eia mākou)
Aloha au i ka pūnaewele (ka hoʻopili ʻana o ka huila, ma hope iho o HA). ʻO kēia kahi ʻano zoo malware kahi e hiki ai iā ʻoe ke nānā pono i nā "mea ʻaihue" hihiu mai kahi mamao palekana me ka hoʻouka ʻole ʻia. Hoʻohana ʻo HA i ka malware ma nā wahi palekana, hoʻopaʻa i nā kelepona ʻōnaehana, hana i nā faila a me ka holo ʻana o ka Pūnaewele, a hāʻawi iā ʻoe i kēia mau hopena no kēlā me kēia laʻana. ʻO kēia ala, ʻaʻole pono ʻoe e hoʻopau i kou manawa a me kou ikaika e hoʻāʻo nei e noʻonoʻo i ke code huikau iā ʻoe iho, akā hiki ke hoʻomaopopo koke i ka manaʻo o nā mea hacker.
ʻO nā laʻana HA i hopu i koʻu manaʻo e hoʻohana i nā palapala JavaScript a i ʻole Visual Basic for Applications (VBA) i hoʻokomo ʻia ma ke ʻano he macro ma nā palapala Word a Excel a i hoʻopili ʻia i nā leka uila phishing. Ke wehe ʻia, hoʻomaka kēia mau macros i kahi kau PowerShell ma ke kamepiula o ka mea i pepehi ʻia. Hoʻouna maʻamau ka poʻe hackers i kahi kahawai kauoha Base64 i PowerShell. Hana ʻia kēia i mea e paʻakikī ai ka hoʻouka ʻana e nā kānana pūnaewele a me nā polokalamu antivirus e pane ana i kekahi mau huaʻōlelo.
ʻO ka mea pōmaikaʻi, hoʻokaʻawale ʻokoʻa ʻo HA i ka Base64 a hōʻike i nā mea āpau i kahi ʻano hiki ke heluhelu ʻia. ʻO ka mea nui, ʻaʻole pono ʻoe e noʻonoʻo i ke ʻano o ka hana ʻana o kēia mau palapala no ka mea hiki iā ʻoe ke ʻike i ka puka kauoha piha no nā kaʻina holo i ka pauku pili o HA. E nānā i ka laʻana ma lalo:
Hoʻopili ʻia ka kānana Hybrid i nā kauoha i hoʻopili ʻia ʻo Base64 i hoʻouna ʻia i PowerShell:
...a laila hoʻokaʻawale iā lākou no ʻoe. # kupua
В Ua hana au i kaʻu pahu JavaScript ponoʻī e holo i kahi kau PowerShell. ʻO kaʻu palapala, e like me ka nui o PowerShell-based malware, a laila hoʻoiho i ka palapala PowerShell aʻe mai kahi pūnaewele mamao. A laila, ma ke ʻano he laʻana, ua hoʻouka au i kahi PS maikaʻi ʻole i paʻi i kahi leka ma ka pale. Akā ke loli nei nā manawa, a ke manaʻo nei au e hoʻopili i ke ʻano.
PowerShell Empire a me Reverse Shell
ʻO kekahi o nā pahuhopu o kēia hoʻomaʻamaʻa ʻana, ʻo ia ka hōʻike ʻana pehea (maʻalahi) hiki i ka mea hacker ke kāpae i nā pale perimeter maʻamau a me nā antiviruses. Inā hiki i kahi mea blog IT me ka ʻole o nā mākau hoʻolālā, e like me aʻu, hiki iā ia ke hana i nā ahiahi ʻelua (ʻike ʻole ʻia, FUD), e noʻonoʻo i ka hiki o kahi hacker ʻōpio makemake i kēia!
A inā ʻoe he mea hoʻolako palekana IT, akā ʻaʻole ʻike kāu luna i ka hopena o kēia mau hoʻoweliweli, e hōʻike wale iā ia i kēia ʻatikala.
Manaʻo ka poʻe hackers i ka loaʻa ʻana o ke ala pololei i ka pona a i ʻole ke kikowaena o ka mea i pepehi ʻia. He mea maʻalahi loa kēia e hana: ʻo nā mea a ka mea hacker e hana ai, ʻo ka loaʻa ʻana o kekahi mau faila huna ma ka kamepiula o ka CEO.
ʻO wau nō kekahi e pili ana i ka PowerShell Empire post-production runtime. E hoʻomanaʻo kākou he aha ia.
ʻO ia kahi mea hana hoʻāʻo hoʻāʻo e pili ana i ka PowerShell, ma waena o nā hiʻohiʻona ʻē aʻe, hiki iā ʻoe ke holo maʻalahi i kahi pūpū huli. Hiki iā ʻoe ke aʻo i nā kikoʻī hou aku ma .
E hana kāua i kahi hoʻokolohua liʻiliʻi. Ua hoʻonohonoho au i kahi kaiapuni hoʻāʻo malware palekana i ke ao o Amazon Web Services. Hiki iā ʻoe ke hahai i kaʻu hiʻohiʻona e hōʻike wikiwiki a palekana i kahi hiʻohiʻona hana o kēia nāwaliwali (a ʻaʻole e hoʻopau ʻia no ka holo ʻana i nā maʻi maʻi i loko o ka perimeter ʻoihana).
Inā ʻoe e hoʻomaka i ka console PowerShell Empire, e ʻike ʻoe i kahi mea e like me kēia:
E hoʻomaka mua ʻoe i ke kaʻina hoʻolohe ma kāu kamepiula hacker. E hoʻokomo i ke kauoha "hoʻolohe", a kuhikuhi i ka IP address o kāu ʻōnaehana me ka hoʻohana ʻana i ka "set Host". A laila e hoʻomaka i ke kaʻina hana hoʻolohe me ke kauoha "hoʻokō" (ma lalo). No laila, ma kāu ʻaoʻao, e hoʻomaka ʻoe e kali i kahi pilina pūnaewele mai ka pūpū mamao:
No ka ʻaoʻao ʻē aʻe, pono ʻoe e hana i kahi code agent ma ke komo ʻana i ke kauoha "launcher" (e ʻike i lalo). E hoʻopuka kēia i ka code PowerShell no ka ʻelele mamao. E hoʻomaopopo ua hoʻopili ʻia ia ma Base64, a ke hōʻike nei i ka lua o ka pae o ka uku. Ma nā huaʻōlelo ʻē aʻe, e huki kaʻu code JavaScript i kēia manawa e holo i ka PowerShell ma kahi o ka paʻi hewa ʻole ʻana i nā kikokikona i ka pale, a hoʻopili i kā mākou kikowaena PSE mamao e holo i kahi pūpū huli.
ʻO ke kilokilo o ka pūpū huli. E hoʻopili kēia kauoha PowerShell i kaʻu mea hoʻolohe a hoʻomaka i kahi pūpū mamao.
No ka hōʻike ʻana iā ʻoe i kēia hoʻokolohua, lawe wau i ke kuleana o ka mea i hala ʻole a wehe iā Evil.doc, a laila hoʻomaka i kā mākou JavaScript. Hoʻomanaʻo i ka hapa mua? Ua hoʻonohonoho ʻia ʻo PowerShell e pale i kona puka makani mai ka puka ʻana mai, no laila ʻaʻole ʻike ka mea i ʻike ʻia i kekahi mea maʻamau. Eia nō naʻe, inā wehe ʻoe i ka Windows Task Manager, e ʻike ʻoe i kahi kaʻina PowerShell hope ʻaʻole ia e hoʻāla i ka hapa nui o nā kānaka. No ka mea, he PowerShell maʻamau wale nō, ʻaʻole anei?
I kēia manawa ke holo ʻoe iā Evil.doc, e hoʻopili ʻia kahi kaʻina hana huna i ka server e holo ana i ka PowerShell Empire. Ke kau nei au i kaʻu pāpale hacker pentester keʻokeʻo, ua hoʻi au i ka console PowerShell Empire a ʻike i kēia manawa i kahi leka e hana nei kaʻu ʻelele mamao.
A laila komo wau i ke kauoha "interact" e wehe i kahi pūpū ma PSE - a aia wau! I ka pōkole, ua hack au i ka server Taco aʻu i hoʻonohonoho ai iaʻu iho i hoʻokahi manawa.
ʻO kaʻu mea i hōʻike ai, ʻaʻole ia e koi i ka hana nui ma kāu ʻaoʻao. Hiki iā ʻoe ke hana i kēia mau mea a pau i kāu hoʻomaha ʻaina awakea no hoʻokahi a ʻelua paha hola e hoʻomaikaʻi ai i kāu ʻike palekana ʻike. He ala maikaʻi nō hoʻi ia e hoʻomaopopo ai i ke ala ʻana o ka poʻe hackers i kāu perimeter palekana waho a komo i loko o kāu ʻōnaehana.
ʻO nā luna IT e manaʻo nei ua kūkulu lākou i kahi pale hiki ʻole i ke komo ʻana e ʻike paha lākou i ka hoʻonaʻauao - ʻo ia hoʻi, inā hiki iā ʻoe ke hoʻohuli iā lākou e noho lōʻihi me ʻoe.
E hoʻi kāua i ka ʻoiaʻiʻo
E like me kaʻu i manaʻo ai, he hack maoli, ʻike ʻole ʻia e ka mea hoʻohana maʻamau, he hoʻololi wale ia o ka mea aʻu i wehewehe ai. No ka hōʻiliʻili ʻana i nā mea no ka paʻi hou aʻe, hoʻomaka wau e ʻimi i kahi laʻana ma HA e hana like me kaʻu kumu hoʻohālike. A ʻaʻole pono wau e ʻimi iā ia no ka lōʻihi - nui nā koho no kahi ʻano hoʻouka kaua like ma ka pūnaewele.
ʻO ka polokalamu malware aʻu i loaʻa ai ma HA he palapala VBA i hoʻokomo ʻia i loko o kahi palapala Word. ʻO ia hoʻi, ʻaʻole pono wau e hoʻopunipuni i ka hoʻonui ʻana i ka doc, ʻo kēia malware he palapala Microsoft Word maʻamau. Inā makemake ʻoe, ua koho wau i kēia hāpana i kapa ʻia .
Ua aʻo koke wau ʻaʻole hiki iā ʻoe ke huki pololei i nā palapala VBA maikaʻi ʻole mai kahi palapala. Hoʻopili ka poʻe hackers a hūnā iā lākou i ʻike ʻole ʻia ma nā mea hana macro i kūkulu ʻia i loko o Word. Pono ʻoe i kahi mea hana kūikawā e wehe ai. Laki ua loaʻa iaʻu kahi scanner Frank Baldwin. Mahalo iā ʻoe, e Frank.
Me ka hoʻohana ʻana i kēia mea hana, ua hiki iaʻu ke huki i ka code VBA i ʻike ʻia. Ua like me keia:
Ua hana ʻia ka obfuscation e nā poʻe loea i kā lākou ʻoihana. Ua hauʻoli wau!
Maikaʻi maoli ka poʻe hoʻouka kaua i ka hoʻopā ʻana i nā code, ʻaʻole like me kaʻu mau hana i ka hana ʻana iā Evil.doc. ʻAe, ma ka ʻāpana aʻe e lawe mākou i kā mākou VBA debuggers, luʻu iki i loko o kēia code a hoʻohālikelike i kā mākou loiloi me nā hopena HA.
Source: www.habr.com