Atik sa a fè pati seri malveyan Fileless. Tout lòt pati nan seri a:
- Elusive Malveyan Adventures Pati II: Hidden VBA Scripts (nou la)
Mwen se yon fanatik sit la (analiz ibrid, apre sa HA). Sa a se yon kalite zou malveyan kote ou ka san danje obsève "predatè" sovaj nan yon distans ki san danje san yo pa atake. HA kouri malveyan nan anviwònman an sekirite, anrejistre apèl sistèm, dosye pwodwi, ak trafik entènèt, epi pote ou tout rezilta sa yo pou chak echantiyon li analize. Kidonk, ou pa ka gaspiye tan ou ak efò pou rezoud kòd la obfuscate tèt ou, men imedyatman konprann tout entansyon yo nan entru.
Egzanp HA yo ki te atire atansyon mwen yo itilize swa JavaScript kode oswa Visual Basic for Applications (VBA) scripts entegre kòm makro nan dokiman Word oswa Excel epi yo tache ak imèl èskrokri. Lè yo louvri, makro sa yo kòmanse yon sesyon PowerShell sou òdinatè viktim nan. Entru yo anjeneral voye yon kouran lòd Base64-kode nan PowerShell. Tout bagay sa yo fè pou fè atak la difisil pou detekte pa filtè entènèt ak lojisyèl antivirus ki reponn a sèten mo kle.
Erezman, HA otomatikman dekode Base64 epi imedyatman montre tout bagay nan yon fòm lizib. Esansyèlman, ou pa bezwen konsantre sou ki jan scripts sa yo travay, paske ou pral kapab wè pwodiksyon an konplè nan kòmandman yo pou kouri pwosesis nan seksyon HA ki koresponn lan. Gade egzanp anba a:
Analiz ibrid entèsepte kòmandman kode Base64 voye bay PowerShell:
... ak Lè sa a, dekode yo pou ou. #majik
В Mwen te kreye pwòp veso JavaScript yon ti kras obfuscate mwen pou kouri yon sesyon PowerShell. Lè sa a, script mwen an, tankou yon anpil nan malveyan ki baze sou PowerShell, telechaje script PowerShell sa a soti nan yon sit entènèt aleka. Lè sa a, kòm yon egzanp, mwen telechaje yon PS inofansif ki enprime yon mesaj sou ekran an. Men, tan yo ap chanje, epi kounye a mwen pwopoze konplike senaryo a.
PowerShell Empire ak Reverse Shell
Youn nan objektif egzèsis sa a se montre kouman (relativman) li fasil pou yon pirate kontoune defans perimèt klasik ak antivirus. Si yon blogger IT san yo pa ladrès pwogramasyon, tankou m ', nan yon koup la aswè kapab (konplètman detekte, FUD), imajine posiblite yo nan yon pirate jèn ki enterese!
Men, si ou se yon moun sekirite IT, men manadjè ou a pa konprann enplikasyon potansyèl menas sa yo, jis montre yo atik sa a.
Hackers rèv jwenn aksè dirèk nan laptop oswa sèvè yon viktim. Sa a se trè fasil fè: tout sa yon pirate bezwen se jwenn kenbe nan kèk dosye konfidansyèl sou laptop CEO a.
Yon jan kanmenm mwen deja sou tan apre pwodiksyon PowerShell Empire. Ann sonje sa li ye.
Li se esansyèlman yon zouti tès pénétration ki baze sou PowerShell ki, pami anpil lòt karakteristik, fè li fasil pou kouri yon koki ranvèse. Ou ka eksplore li an plis detay nan .
Ann fè yon ti eksperyans. Mwen mete yon anviwònman an sekirite pou tès malveyan nan nwaj Amazon Web Services la. Ou ka swiv egzanp mwen an byen vit epi san danje montre yon egzanp k ap travay nan vilnerabilite sa a (epi yo pa dwe revoke pou kouri viris andedan perimèt antrepriz la).
Si ou kouri konsole PowerShell Empire, ou pral wè yon bagay tankou sa a:
Premyèman, ou kòmanse pwosesis la koute sou machin pirate ou. Antre kòmand "koute" a, epi presize adrès IP sistèm ou a lè l sèvi avèk "set Host". Lè sa a, kòmanse pwosesis la koute ak "egzekisyon" kòmandman an (anba a). Kidonk, sou bò ou, ou pral kòmanse ap tann pou yon koneksyon rezo soti nan yon koki aleka:
Pou lòt bò a, w ap bezwen jenere yon kòd ajan lè w antre kòmand "lanseur" la (gade anba a). Sa a pral jenere kòd PowerShell pou ajan aleka a. Remake byen ke li se Base64 kode epi li reprezante dezyèm faz chaj la. Nan lòt mo, kòd JavaScript mwen an pral kounye a rale ajan sa a pou kouri PowerShell olye pou yo montre tèks san danje sou ekran an epi konekte ak sèvè PSE aleka nou an pou kouri koki a ranvèse.
Ranvèse majik kokiy. Kòmandman PowerShell kode sa a pral konekte ak moun k ap koute mwen epi kòmanse yon koki aleka.
Pou montre w eksperyans sa a, mwen te pran wòl yon viktim inosan epi mwen te louvri Evil.doc, konsa mwen te kouri JavaScript nou an. Sonje premye pati a? PowerShell te configuré pou pa parèt, kidonk viktim nan pa pral remake anyen ki pa nòmal. Sepandan, si ou louvri Manadjè Travay Windows la, ou pral wè yon pwosesis PowerShell background, ki toujou pa pral lakòz okenn alam pou pifò. Paske li se PowerShell regilye, pa vre?
Koulye a, lè ou kouri Evil.doc, yon pwosesis background kache pral konekte ak sèvè a kouri PowerShell Empire. Mete yon chapo blan nan yon pirate-pentester, mwen te retounen nan konsole PowerShell Empire la, epi kounye a mwen wè yon mesaj ke ajan aleka mwen an aktif.
Lè sa a, mwen tape "interact" lòd la louvri yon koki nan PSE - ak isit la mwen ye! Nan ti bout tan, mwen pirate nan sèvè Taco ke mwen mete tèt mwen kèk tan de sa.
Sa m sot demontre a pa mande w anpil travay. Ou ka byen fasil fè tout bagay sa yo nan yon repo manje midi pou youn a de zè de tan pou amelyore konesans ou sou sekirite enfòmasyon. Li se tou yon bon fason yo konprann ki jan entru kontoune defans perimèt sekirite ekstèn ak fofile nan sistèm ou yo.
Manadjè IT ki panse ke yo te bati yon defans ki pa ka kase kont nenpòt kalite entrizyon ap pwobableman jwenn li edikasyon tou - byen, si ou ka konvenk yo chita bò kote ou ase lontan, nan kou.
Retounen nan reyalite
Kòm mwen te espere, Hack reyèl la, envizib nan itilizatè an mwayèn, se jis yon varyasyon nan sa mwen jis dekri. Yo nan lòd yo kolekte materyèl pou pwochen piblikasyon an, mwen te kòmanse chèche yon echantiyon sou HA, ki travay menm jan ak egzanp envante mwen an. Apre sa, mwen pa t 'gen gade pou li pou yon tan long - gen anpil opsyon pou tankou yon teknik atak sou sit la.
Malveyan mwen te fini jwenn sou HA se yon script VBA ki te entegre nan yon dokiman Word. Sa vle di, mwen pa menm bezwen fo ekstansyon doc, malveyan sa a se reyèlman dokiman Microsoft Word ki pi òdinè. Nan ka w ap mande, mwen te chwazi modèl sa a rele .
Mwen byen vit te aprann ke ou souvan pa ka rale move scripts VBA dirèkteman nan yon dokiman. Entru yo konprese ak kache yo, epi yo pa vizib nan zouti makro entegre nan Word. Ou pral bezwen yon zouti espesyal pou ekstrè li. Erezman mwen te rankontre yon eskanè Frank Baldwin. Mèsi Frank.
Sèvi ak zouti sa a, mwen te kapab rale soti yon kòd VBA trè obfuscate. Li te sanble yon bagay tankou sa a:
Obfuscation te fè pa pwofesyonèl nan domèn yo. Mwen te enpresyone!
Нападавшие действительно хороши в запутывании кода, не то что мои усилия в создании Evil.doc. Ну и ладно, в следующей части мы достанем наши отладчики VBA, слегка углубимся в этот код и сравним наш анализ с результатами HA.
Sous: www.habr.com