Edemede a bụ akụkụ nke usoro Malware enweghị faịlụ. Akụkụ ndị ọzọ niile nke usoro a:
- Ihe omume nke Malware Elusive, Nkebi II: Edemede VBA zoro ezo (anyị nọ ebe a)
Abụ m onye na-akwado saịtị ahụ (nyocha ngwakọ, na-esote HA). Nke a bụ ụdị anụ ọhịa malware ebe ị nwere ike ịhụ “ndị na-eri anụ” ọhịa n'enweghị nsogbu site n'ebe dị anya na-enweghị mwakpo. HA na-agba malware na gburugburu ebe nchekwa, na-edekọ oku usoro, faịlụ emepụtara na okporo ụzọ ịntanetị, wee nye gị nsonaazụ ndị a niile maka nlele ọ bụla ọ na-enyocha. N'ụzọ dị otú a, ị gaghị egbusi oge na ike gị na-agbalị ịchọta koodu mgbagwoju anya n'onwe gị, ma ị nwere ike ịghọta ngwa ngwa niile ebumnobi ndị hackers.
Ihe atụ HA nke dọtara uche m na-eji koodu Javascript ma ọ bụ Visual Basic for Applications (VBA) scripts agbakwunyere dị ka macros na akwụkwọ Okwu ma ọ bụ Excel ma tinye ya na ozi-e phishing. Mgbe emepere ya, macros ndị a na-amalite nnọkọ PowerShell na kọmputa onye ihe metụtara. Ndị na-egwu hackers na-ezigakarị iyi Base64 agbakwunyere na PowerShell. Emere ihe a niile iji mee ka ọgụ sie ike ịchọpụta site na nzacha webụ na sọftụwia antivirus na-anabata ụfọdụ mkpụrụokwu.
Luckily, HA na-akpaghị aka decoded Base64 na-egosiputa ihe niile na a usoro ịgụ ozugbo. N'ikpeazụ, ịkwesighi ilekwasị anya n'otú edemede ndị a si arụ ọrụ n'ihi na ị ga-enwe ike ịhụ mmepụta iwu zuru ezu maka usoro na-agba ọsọ na ngalaba kwekọrọ na HA. Lee ihe atụ n'okpuru:
Nyocha ngwakọ na-egbochi iwu Base64 etinyere na PowerShell:
... wee depụta ha maka gị. #anwansi
В Emepụtara m akpa Javascript nke m mechiri emechi ka m wee mee nnọkọ PowerShell. Edemede m, dị ka ọtụtụ malware dabere na PowerShell, wee budata edemede PowerShell ndị a site na webụsaịtị dịpụrụ adịpụ. Mgbe ahụ, dị ka ihe atụ, m eburu PS na-adịghị emerụ ahụ nke bipụtara ozi na ihuenyo. Ma oge na-agbanwe, ma ugbu a, m na-atụ aro ka mgbagwoju dịruru ná njọ.
Alaeze Ukwu PowerShell na Reverse Shell
Otu n'ime ebumnobi nke mmega ahụ a bụ igosi ka (dịtụ) ngwa ngwa onye hacker nwere ike isi gafere ihe nchebe gburugburu na antiviruses. Ọ bụrụ na onye na-ede blọgụ IT na-enweghị nkà mmemme, dị ka m, nwere ike ime ya na mgbede ole na ole (nke a na-achọpụtaghị nke ọma, FUD), chee echiche ike nke onye na-eto eto hacker nwere mmasị na nke a!
Ma ọ bụrụ na ị bụ onye na-ahụ maka nchekwa IT, mana onye njikwa gị amaghị ihe ga-esi na egwu ndị a pụta, gosi ya akụkọ a.
Ndị na-agba ọsọ na-arọ nrọ nke ịnweta ngwa ngwa na laptọọpụ ma ọ bụ nkesa nke onye ahụ. Nke a dị nnọọ mfe ime: ihe niile onye hacker kwesịrị ime bụ ịnweta faịlụ nzuzo ole na ole na laptọọpụ CEO.
N'ụzọ ụfọdụ, m ugbua banyere PowerShell Empire post-mmepụta oge ojiri gaa. Ka anyị cheta ihe ọ bụ.
Ọ bụ n'ezie ngwa nyocha ntinye ntinye nke PowerShell nke, n'etiti ọtụtụ atụmatụ ndị ọzọ, na-enye gị ohere ịmegharị shei n'ụzọ dị mfe. Ị nwere ike mụọ ya n'ụzọ zuru ezu na .
Ka anyị mee ntakịrị nnwale. Edobere m ebe nnwale malware echekwara na igwe ojii Weebụ Amazon. Ị nwere ike ịgbaso ihe atụ m iji gosi ngwa ngwa na n'enweghị nsogbu na-egosi ihe atụ na-arụ ọrụ nke adịghị ike a (ma ghara ịchụpụ ya maka nje na-agba ọsọ n'ime ụlọ ọrụ).
Ọ bụrụ na ịmalite PowerShell Empire console, ị ga-ahụ ihe dị ka nke a:
Mbụ ị ga-amalite usoro ndị na-ege ntị na kọmputa hacker gị. Tinye iwu "onye na-ege ntị", wee kọwapụta adreesị IP nke sistemụ gị site na iji "set Host". Wee malite usoro ndị na-ege ntị site na iji iwu "execute" (n'okpuru). Ya mere, n'akụkụ gị, ị ga-amalite ichere njikọ netwọk site na shei dịpụrụ adịpụ:
Maka akụkụ nke ọzọ, ị ga-achọ ịmepụta koodu nnọchite site na itinye iwu " Launcher" (lee n'okpuru). Nke a ga-ewepụta koodu PowerShell maka onye nnọchi anya. Rịba ama na etinyere ya na Base64, ma na-anọchi anya akụkụ nke abụọ nke ibu ọrụ. N'ikwu ya n'ụzọ ọzọ, koodu Javascript m ga-adọta ugbu a onye ọrụ a ka ọ rụọ PowerShell kama ibipụta ederede na-enweghị nsogbu na ihuenyo, wee jikọọ na sava PSE anyị dịpụrụ adịpụ iji mee shei azụ.
Anwansi nke reverse shei. Iwu PowerShell a etinyere ga-ejikọta na onye na-ege m ntị wee malite shei dịpụrụ adịpụ.
Iji gosi gị nnwale a, m weere ọrụ nke onye aka ya dị ọcha wee meghee Evil.doc, si otú ahụ malite Javascript anyị. Cheta akụkụ nke mbụ? Ahaziri PowerShell ka ọ gbochie windo ya ịpụta, yabụ onye ihe ahụ agaghị achọpụta ihe ọ bụla pụrụ iche. Otú ọ dị, ọ bụrụ na imepee Windows Task Manager, ị ga-ahụ usoro ndabere PowerShell nke na-agaghị eme ka ọ daa ụda ọ bụla nye ọtụtụ ndị mmadụ. N'ihi na ọ bụ naanị PowerShell mgbe niile, ọ bụghị ya?
Ugbu a mgbe ị na-agba Evil.doc, usoro ndabere zoro ezo ga-ejikọta na ihe nkesa na-agba ọsọ PowerShell Empire. Na-etinye okpu m ọcha pentester hacker, laghachiri m na PowerShell Empire console wee hụ ozi na onye na-elekọta m na-arụ ọrụ.
M wee banye iwu "mmekọrịta" ka imepe shei na PSE - ma enwere m! Na nkenke, M hacked Taco nkesa na m guzobere onwe m otu ugboro.
Ihe m gosipụtara adịghị achọ nnukwu ọrụ ahụ n'akụkụ gị. Ị nwere ike ime ihe a niile n'ụzọ dị mfe n'oge ezumike nri ehihie gị maka otu awa ma ọ bụ abụọ iji meziwanye ihe ọmụma nchekwa ozi gị. Ọ bụkwa ụzọ dị mma isi ghọta ka ndị hackers si na-agafe gburugburu nchekwa mpụga gị wee banye n'ime sistemụ gị.
Ndị na-ahụ maka IT na-eche na ha ewulitela ihe nchebe na-enweghị atụ megide mbuso agha ọ bụla ga-ahụkwa na ọ bụ agụmakwụkwọ - ya bụ, ọ bụrụ na ị nwere ike ime ka ha kwenye ka gị na gị nọrọ ogologo oge.
Ka anyị laghachi n'eziokwu
Dị ka m tụrụ anya, ezigbo mbanye anataghị ikike, nke a na-adịghị ahụ anya maka ndị na-arụ ọrụ, bụ nnọọ mgbanwe nke ihe m kọwara. Iji nakọta ihe maka mbipụta na-esote, amalitere m ịchọ ihe nlele na HA nke na-arụ ọrụ n'otu ụzọ ahụ dị ka ihe atụ m chepụtara. Na enweghị m ịchọ ya ogologo oge - enwere ọtụtụ nhọrọ maka usoro ọgụ yiri nke ahụ na saịtị ahụ.
malware m mechara chọta na HA bụ VBA script nke etinyere na akwụkwọ Okwu. Nke ahụ bụ, ọ dịghịdị m mkpa ịmegharị ndọtị doc adịgboroja, malware a bụ akwụkwọ Microsoft Okwu na-ele anya. Ọ bụrụ na ị nwere mmasị, ahọpụtara m ihe nlele a a na-akpọ .
Amụtara m ngwa ngwa na ị naghị enwe ike iwepụ scripts ọjọọ VBA ozugbo na akwụkwọ. Ndị na-egwu hackers na-akpakọ ma zoo ha ka a ghara ịhụ ha n'ime ngwa macro arụnyere n'ime Okwu. Ị ga-achọ ngwá ọrụ pụrụ iche iji wepụ ya. Daalụ, ahụrụ m igwe nyocha Frank Baldwin. Daalụ Frank.
N'iji ngwá ọrụ a, enwere m ike iwepụ koodu VBA nke ukwuu. Ọ dị ka nke a:
Ndị ọkachamara na ngalaba ha mere ihe mgbochi ahụ. Ọ masịrị m!
Ndị na-awakpo dị mma n'ezie na-emebi koodu, ọ bụghị dị ka mbọ m na-emepụta Evil.doc. Ọ dị mma, n'akụkụ nke ọzọ anyị ga-ewepụ VBA debuggers anyị, gbanye ntakịrị n'ime koodu a ma jiri nyocha anyị tụnyere nsonaazụ HA.
isi: www.habr.com