Այս հոդվածը Fileless Malware շարքի մի մասն է: Շարքի մնացած բոլոր մասերը.
- Անորսալի չարամիտ ծրագրի արկածները, Մաս II. Թաքնված VBA սցենարներ (մենք այստեղ ենք)
Ես կայքի երկրպագու եմ (հիբրիդային վերլուծություն, այսուհետ՝ ՀԱ): Սա մի տեսակ չարամիտ կենդանաբանական այգի է, որտեղ դուք կարող եք ապահով դիտել վայրի «գիշատիչներին» անվտանգ հեռավորությունից՝ առանց հարձակման: HA-ն գործարկում է չարամիտ ծրագրեր անվտանգ միջավայրերում, գրանցում է համակարգային զանգերը, ստեղծված ֆայլերը և ինտերնետ տրաֆիկը և տալիս է այս բոլոր արդյունքները իր վերլուծած յուրաքանչյուր նմուշի համար: Այսպիսով, դուք չպետք է վատնեք ձեր ժամանակը և էներգիան՝ փորձելով ինքներդ պարզել շփոթեցնող ծածկագիրը, բայց կարող եք անմիջապես հասկանալ հաքերների բոլոր մտադրությունները:
HA օրինակները, որոնք գրավեցին իմ ուշադրությունը, օգտագործում են կամ կոդավորված JavaScript կամ Visual Basic for Applications (VBA) սկրիպտներ, որոնք որպես մակրո ներդրված են Word կամ Excel փաստաթղթերում և կցված ֆիշինգ էլ. Երբ բացվում են, այս մակրոները սկսում են PowerShell նիստը տուժածի համակարգչում: Հաքերները սովորաբար ուղարկում են Base64 հրամանների կոդավորված հոսք PowerShell-ին: Այս ամենը արվում է հարձակումը դժվարացնելու համար վեբ զտիչների և հակավիրուսային ծրագրերի միջոցով, որոնք արձագանքում են որոշակի հիմնաբառերի:
Բարեբախտաբար, HA-ն ավտոմատ կերպով վերծանում է Base64-ը և անմիջապես ցուցադրում է ամեն ինչ ընթեռնելի ձևաչափով: Ըստ էության, դուք չպետք է կենտրոնանաք, թե ինչպես են աշխատում այս սկրիպտները, քանի որ դուք կկարողանաք տեսնել HA-ի համապատասխան բաժնում գործող գործընթացների ամբողջական հրամանի ելքը: Տես ստորև բերված օրինակը.
Հիբրիդային վերլուծությունը ընդհատում է PowerShell-ին ուղարկված Base64 կոդավորված հրամանները.
...իսկ հետո վերծանում է դրանք ձեզ համար: #կախարդական կերպով
В Ես ստեղծեցի իմ սեփական փոքր-ինչ խճճված JavaScript կոնտեյները՝ PowerShell նիստը գործարկելու համար: Իմ սցենարը, ինչպես շատ PowerShell-ի վրա հիմնված չարամիտ ծրագրեր, այնուհետև ներբեռնում է հետևյալ PowerShell սկրիպտը հեռավոր կայքից: Հետո, որպես օրինակ, ես բեռնեցի անվնաս PS, որը հաղորդագրություն տպեց էկրանին: Բայց ժամանակները փոխվում են, և հիմա ես առաջարկում եմ բարդացնել սցենարը։
PowerShell Empire և Reverse Shell
Այս վարժության նպատակներից մեկն է ցույց տալ, թե ինչպես (համեմատաբար) հեշտությամբ հաքերը կարող է շրջանցել դասական պարագծային պաշտպանությունները և հակավիրուսները։ Եթե ծրագրավորման հմտություններ չունեցող ՏՏ բլոգերը, ինչպես ես, կարող է դա անել մի քանի երեկոների ընթացքում (լիովին չբացահայտված, FUD), պատկերացրեք երիտասարդ հաքերի հնարավորությունները, որոնք հետաքրքրված են դրանով:
Եվ եթե դուք ՏՏ անվտանգության մատակարար եք, բայց ձեր մենեջերը տեղյակ չէ այդ սպառնալիքների հնարավոր հետևանքների մասին, պարզապես ցույց տվեք նրան այս հոդվածը։
Հաքերները երազում են անմիջական մուտք ունենալ զոհի նոութբուք կամ սերվեր: Դա անելը շատ պարզ է. հաքերին անհրաժեշտ է ընդամենը մի քանի գաղտնի ֆայլ ստանալ գործադիր տնօրենի նոութբուքում:
Ինչ-որ կերպ ես արդեն PowerShell Empire-ի հետարտադրական գործարկման ժամանակի մասին: Եկեք հիշենք, թե ինչ է դա:
Այն, ըստ էության, PowerShell-ի վրա հիմնված ներթափանցման փորձարկման գործիք է, որը, ի թիվս բազմաթիվ այլ հատկանիշների, թույլ է տալիս հեշտությամբ գործարկել հակադարձ կեղևը: Դուք կարող եք ավելի մանրամասն ուսումնասիրել այն .
Եկեք մի փոքր փորձ անենք։ Ես ստեղծեցի անվտանգ չարամիտ փորձարկման միջավայր Amazon Web Services ամպում: Դուք կարող եք հետևել իմ օրինակին՝ արագ և ապահով կերպով ցույց տալու այս խոցելիության աշխատանքային օրինակը (և չհեռանալ ձեռնարկության պարագծի ներսում վիրուսներ գործարկելու համար):
Եթե գործարկեք PowerShell Empire վահանակը, կտեսնեք այսպիսի բան.
Սկզբում դուք սկսում եք լսողական գործընթացը ձեր հաքերային համակարգչում: Մուտքագրեք «լսող» հրամանը և նշեք ձեր համակարգի IP հասցեն՝ օգտագործելով «set Host»: Այնուհետև սկսեք լսողի գործընթացը «կատարել» հրամանով (ներքևում): Այսպիսով, ձեր կողմից, դուք կսկսեք սպասել ցանցային կապի հեռակառավարման վահանակից.
Մյուս կողմի համար դուք պետք է գեներացնեք գործակալի կոդը՝ մուտքագրելով «գործարկիչ» հրամանը (տես ստորև): Սա կստեղծի PowerShell կոդը հեռավոր գործակալի համար: Նկատի ունեցեք, որ այն կոդավորված է Base64-ում և ներկայացնում է օգտակար բեռի երկրորդ փուլը: Այլ կերպ ասած, իմ JavaScript կոդը այժմ կքաշի այս գործակալին, որպեսզի աշխատի PowerShell-ը՝ էկրանին անվնաս տպելու փոխարեն, և կմիանա մեր հեռավոր PSE սերվերին՝ հակադարձ կեղևը գործարկելու համար:
Հակադարձ կեղևի կախարդանքը: Այս կոդավորված PowerShell հրամանը կմիանա իմ լսողին և կգործարկի հեռակառավարվող վահանակ:
Այս փորձը ձեզ ցույց տալու համար ես ստանձնեցի անմեղ զոհի դերը և բացեցի Evil.doc-ը՝ դրանով իսկ գործարկելով մեր JavaScript-ը: Հիշում եք առաջին մասը. PowerShell-ը կազմաձևվել է այնպես, որ թույլ չտա դրա պատուհանի բացումը, ուստի տուժողը որևէ արտասովոր բան չի նկատի: Այնուամենայնիվ, եթե բացեք Windows Task Manager-ը, կտեսնեք ֆոնային PowerShell գործընթաց, որն ամեն դեպքում մարդկանց մեծամասնության համար որևէ ահազանգ չի առաջացնի: Քանի որ դա պարզապես սովորական PowerShell է, այնպես չէ՞:
Այժմ, երբ դուք գործարկում եք Evil.doc-ը, թաքնված ֆոնային գործընթացը կմիանա PowerShell Empire-ով աշխատող սերվերին: Իմ սպիտակ pentester հաքերային գլխարկը դնելով, ես վերադարձա PowerShell Empire վահանակ և այժմ տեսնում եմ հաղորդագրություն, որ իմ հեռակառավարման գործակալն ակտիվ է:
Այնուհետև ես մուտքագրեցի «փոխազդել» հրամանը՝ PSE-ում կեղև բացելու համար, և ես այնտեղ էի: Մի խոսքով, ես կոտրել եմ Taco սերվերը, որը ես ինքս եմ մի անգամ տեղադրել:
Այն, ինչ ես պարզապես ցույց տվեցի, ձեր կողմից այդքան մեծ աշխատանք չի պահանջում: Դուք կարող եք հեշտությամբ անել այս ամենը մեկ կամ երկու ժամվա ընթացքում ձեր ճաշի ընդմիջման ժամանակ՝ բարելավելու ձեր տեղեկատվական անվտանգության գիտելիքները: Սա նաև հիանալի միջոց է հասկանալու, թե ինչպես են հաքերները շրջանցում ձեր արտաքին անվտանգության պարագիծը և մտնում ձեր համակարգերը:
ՏՏ մենեջերները, ովքեր կարծում են, որ իրենք ստեղծել են անթափանց պաշտպանություն ցանկացած ներխուժման դեմ, հավանաբար դա նույնպես ուսանելի կհամարեն, այսինքն՝ եթե կարողանաք համոզել նրանց բավական երկար նստել ձեզ հետ:
Վերադառնանք իրականությանը
Ինչպես ես ակնկալում էի, իրական հաքերն անտեսանելի են սովորական օգտագործողի համար, պարզապես իմ նկարագրածի տատանումն է: Հաջորդ հրապարակման համար նյութ հավաքելու համար ես սկսեցի HA-ի վրա նմուշ փնտրել, որն աշխատում է այնպես, ինչպես իմ հորինած օրինակը: Եվ ես ստիպված չէի դա երկար փնտրել. կայքում կան նմանատիպ հարձակման տեխնիկայի բազմաթիվ տարբերակներ:
Չարամիտ ծրագիրը, որը ես ի վերջո գտա HA-ում, VBA սկրիպտ էր, որը ներկառուցված էր Word փաստաթղթում: Այսինքն, ես նույնիսկ կարիք չունեմ կեղծելու փաստաթղթի ընդլայնումը, այս չարամիտ ծրագիրը իսկապես նորմալ տեսք ունեցող Microsoft Word փաստաթուղթ է: Եթե դուք հետաքրքրված եք, ես ընտրեցի այս նմուշը, որը կոչվում է .
Ես արագ իմացա, որ դուք հաճախ չեք կարող ուղղակիորեն փաստաթղթից հանել վնասակար VBA սկրիպտները: Հաքերները սեղմում և թաքցնում են դրանք, որպեսզի տեսանելի չլինեն Word-ի ներկառուցված մակրո գործիքներում: Այն հեռացնելու համար ձեզ հարկավոր է հատուկ գործիք: Բարեբախտաբար, ես հանդիպեցի սկաների Ֆրենկ Բոլդուին. Շնորհակալություն, Ֆրենկ:
Օգտագործելով այս գործիքը, ես կարողացա դուրս հանել խիստ մշուշոտ VBA կոդը: Դա նման բան էր թվում.
Մղումը կատարվել է իրենց ոլորտի մասնագետների կողմից։ Ես տպավորված էի։
Հարձակվողներն իսկապես լավ են ծածկում ծածկագիրը, ոչ թե իմ ջանքերը՝ ստեղծելու Evil.doc-ը: Լավ, հաջորդ մասում մենք կհանենք մեր VBA կարգաբերիչները, մի փոքր խորանանք այս կոդի մեջ և կհամեմատենք մեր վերլուծությունը HA-ի արդյունքների հետ:
Source: www.habr.com