Artikel ini adalah bagian dari seri Fileless Malware. Semua bagian lain dari seri ini:
- Elusive Malware Adventures Bagian II: Skrip VBA Tersembunyi (kami di sini)
Saya adalah penggemar situs ini (analisis hibrid, selanjutnya HA). Ini adalah sejenis kebun binatang malware tempat Anda dapat mengamati "predator" liar dengan aman dari jarak yang aman tanpa diserang. HA menjalankan malware di lingkungan yang aman, merekam panggilan sistem, file yang dihasilkan, dan lalu lintas internet, dan memberi Anda semua hasil ini untuk setiap sampel yang dianalisisnya. Dengan demikian, Anda tidak dapat membuang waktu dan tenaga untuk memecahkan sendiri kode yang dikaburkan, tetapi segera pahami semua niat peretas.
Contoh HA yang menarik perhatian saya menggunakan kode JavaScript atau skrip Visual Basic for Applications (VBA) yang disematkan sebagai makro di dokumen Word atau Excel dan dilampirkan ke email phishing. Saat dibuka, makro ini memulai sesi PowerShell di komputer korban. Peretas biasanya mengirim aliran perintah yang disandikan Base64 ke PowerShell. Ini semua dilakukan untuk membuat serangan sulit dideteksi oleh filter web dan perangkat lunak antivirus yang merespons kata kunci tertentu.
Untungnya, HA secara otomatis mendekodekan Base64 dan segera menampilkan semuanya dalam bentuk yang dapat dibaca. Pada dasarnya, Anda tidak perlu fokus pada cara kerja skrip ini, karena Anda akan dapat melihat hasil lengkap dari perintah untuk menjalankan proses di bagian HA yang sesuai. Lihat contoh di bawah ini:
Penguraian hibrid memotong perintah yang disandikan Base64 yang dikirim ke PowerShell:
... dan kemudian menerjemahkannya untuk Anda. #secara ajaib
Π Saya membuat wadah JavaScript saya sendiri yang sedikit dikaburkan untuk menjalankan sesi PowerShell. Skrip saya kemudian, seperti banyak malware berbasis PowerShell, mengunduh skrip PowerShell berikut dari situs web jarak jauh. Kemudian, sebagai contoh, saya mengunduh PS yang tidak berbahaya yang mencetak pesan di layar. Tapi waktu sedang berubah, dan sekarang saya mengusulkan untuk memperumit skenario.
PowerShell Empire dan Reverse Shell
Salah satu tujuan dari latihan ini adalah untuk menunjukkan betapa (relatif) mudah bagi seorang peretas untuk melewati pertahanan perimeter klasik dan antivirus. Jika seorang blogger IT tanpa keahlian pemrograman, seperti saya, dalam beberapa malam bisa (sepenuhnya tidak terdeteksi, FUD), bayangkan kemungkinan seorang peretas muda yang tertarik!
Dan jika Anda adalah petugas keamanan TI, tetapi manajer Anda tidak memahami implikasi potensial dari ancaman ini, cukup tunjukkan artikel ini kepada mereka.
Peretas bermimpi mendapatkan akses langsung ke laptop atau server korban. Ini sangat mudah dilakukan: yang dibutuhkan peretas hanyalah mendapatkan beberapa file rahasia di laptop CEO.
Entah bagaimana saya sudah tentang runtime PowerShell Empire pascaproduksi. Mari kita ingat apa itu.
Ini pada dasarnya adalah alat pengujian penetrasi berbasis PowerShell yang, di antara banyak fitur lainnya, membuatnya mudah untuk menjalankan shell terbalik. Anda dapat menjelajahinya lebih detail di .
Mari kita lakukan percobaan kecil. Saya menyiapkan lingkungan yang aman untuk pengujian malware di cloud Amazon Web Services. Anda dapat mengikuti contoh saya untuk menunjukkan dengan cepat dan aman contoh kerja dari kerentanan ini (dan tidak dipecat karena menjalankan virus di dalam perimeter perusahaan).
Jika Anda menjalankan konsol PowerShell Empire, Anda akan melihat sesuatu seperti ini:
Pertama, Anda memulai proses pendengar di mesin peretas Anda. Masukkan perintah "listener", dan tentukan alamat IP sistem Anda menggunakan "set Host". Kemudian mulai proses pendengar dengan perintah "eksekusi" (di bawah). Jadi, di pihak Anda, Anda akan mulai menunggu koneksi jaringan dari shell jarak jauh:
Untuk sisi lain, Anda perlu membuat kode agen dengan memasukkan perintah "peluncur" (lihat di bawah). Ini akan menghasilkan kode PowerShell untuk agen jarak jauh. Perhatikan bahwa itu dikodekan Base64 dan mewakili fase kedua dari payload. Dengan kata lain, kode JavaScript saya sekarang akan menarik agen ini untuk menjalankan PowerShell alih-alih menampilkan teks di layar tanpa membahayakan dan terhubung ke server PSE jarak jauh kami untuk menjalankan shell terbalik.
Membalikkan sihir cangkang. Perintah PowerShell yang disandikan ini akan terhubung ke pendengar saya dan memulai shell jarak jauh.
Untuk menunjukkan kepada Anda percobaan ini, saya mengambil peran sebagai korban yang tidak bersalah dan membuka Evil.doc, sehingga menjalankan JavaScript kami. Ingat bagian pertama? PowerShell telah dikonfigurasi untuk tidak muncul, sehingga korban tidak akan melihat sesuatu yang tidak biasa. Namun, jika Anda membuka Windows Task Manager, Anda akan melihat proses PowerShell latar belakang, yang sebagian besar masih tidak menimbulkan alarm. Karena itu PowerShell biasa, bukan?
Sekarang, saat Anda menjalankan Evil.doc, proses latar belakang tersembunyi akan terhubung ke server yang menjalankan PowerShell Empire. Mengenakan topi putih seorang hacker-pentester, saya kembali ke konsol PowerShell Empire, dan sekarang saya melihat pesan bahwa agen jarak jauh saya aktif.
Lalu saya mengetik perintah "berinteraksi" untuk membuka shell di PSE - dan inilah saya! Singkatnya, saya meretas server Taco yang saya atur sendiri beberapa waktu lalu.
Apa yang baru saja saya tunjukkan tidak membutuhkan banyak pekerjaan dari Anda. Anda dapat dengan mudah melakukan semua ini saat istirahat makan siang selama satu hingga dua jam untuk meningkatkan pengetahuan Anda tentang keamanan informasi. Ini juga merupakan cara yang bagus untuk memahami bagaimana peretas melewati pertahanan perimeter keamanan eksternal dan menyelinap ke dalam sistem Anda.
Manajer TI yang berpikir bahwa mereka telah membangun pertahanan yang tidak dapat ditembus terhadap gangguan apa pun mungkin juga akan menganggapnya mendidik - tentu saja, jika Anda dapat meyakinkan mereka untuk duduk di samping Anda cukup lama.
Kembali pada kenyataan
Seperti yang saya duga, peretasan yang sebenarnya, tidak terlihat oleh pengguna biasa, hanyalah variasi dari apa yang baru saja saya jelaskan. Untuk mengumpulkan materi untuk publikasi berikutnya, saya mulai mencari sampel HA, yang bekerja dengan cara yang sama seperti contoh penemuan saya. Dan saya tidak perlu mencarinya untuk waktu yang lama - ada banyak opsi untuk teknik serangan seperti itu di situs.
Malware yang akhirnya saya temukan di HA adalah skrip VBA yang disematkan di dokumen Word. Artinya, saya bahkan tidak perlu memalsukan ekstensi doc, malware ini benar-benar dokumen Microsoft Word yang terlihat paling biasa. Jika Anda bertanya-tanya, saya memilih pola yang disebut ini .
Saya segera mengetahui bahwa Anda sering kali tidak dapat menarik skrip VBA berbahaya langsung dari dokumen. Peretas memampatkan dan menyembunyikannya, dan mereka tidak terlihat di alat makro bawaan Word. Anda memerlukan alat khusus untuk mengekstraknya. Untungnya saya menemukan pemindai Frank Baldwin. Terima kasih Frank.
Dengan menggunakan alat ini, saya dapat mengeluarkan kode VBA yang sangat kabur. Itu terlihat seperti ini:
Kebingungan dilakukan oleh para profesional di bidangnya. Saya terkesan!
Penyerang sangat pandai mengaburkan kode, tidak seperti upaya saya membuat Evil.doc. Oke, di bagian selanjutnya, kita akan mendapatkan debugger VBA, menggali lebih dalam kode ini, dan membandingkan analisis kita dengan hasil HA.
Sumber: www.habr.com