Þessi grein er hluti af Fileless Malware seríunni. Allir aðrir hlutar seríunnar:
- Adventures of the Elusive Malware, Part II: Hidden VBA Scripts (við erum hér)
Ég er aðdáandi síðunnar (blendingsgreining, hér eftir HA). Þetta er eins konar spilliforrit dýragarður þar sem þú getur örugglega fylgst með villtum „rándýrum“ úr öruggri fjarlægð án þess að verða fyrir árás. HA keyrir spilliforrit í öruggu umhverfi, skráir kerfissímtöl, búnar skrár og netumferð og gefur þér allar þessar niðurstöður fyrir hvert sýni sem það greinir. Þannig þarftu ekki að eyða tíma þínum og orku í að reyna að finna út ruglingslega kóðann sjálfur, heldur geturðu strax skilið allar fyrirætlanir tölvuþrjóta.
HA dæmin sem vöktu athygli mína nota annaðhvort kóðaða JavaScript eða Visual Basic for Applications (VBA) forskriftir sem eru felldar inn sem fjölvi í Word eða Excel skjölum og tengd við vefveiðapóst. Þegar þau eru opnuð hefja þessar fjölvi PowerShell lotu á tölvu fórnarlambsins. Tölvuþrjótar senda venjulega Base64 kóðaðan straum skipana til PowerShell. Þetta er allt gert til að gera árásina erfitt að greina með vefsíur og vírusvarnarhugbúnaði sem bregst við ákveðnum leitarorðum.
Sem betur fer afkóðar HA sjálfkrafa Base64 og birtir allt strax á læsilegu formi. Í meginatriðum þarftu ekki að einbeita þér að því hvernig þessar forskriftir virka vegna þess að þú munt geta séð alla skipanaúttakið fyrir hlaupandi ferla í samsvarandi hluta HA. Sjá dæmi hér að neðan:
Hybrid greining stöðva Base64 kóðaðar skipanir sem sendar eru til PowerShell:
...og afkóðar þá fyrir þig. #töfrandi
В Ég bjó til minn eigin örlítið ruglaða JavaScript-ílát til að keyra PowerShell lotu. Handritið mitt, eins og mörg PowerShell-undirstaða spilliforrit, hleður síðan niður eftirfarandi PowerShell handriti af fjarlægri vefsíðu. Svo hlóð ég sem dæmi skaðlausri PS sem prentaði skilaboð á skjáinn. En tímarnir eru að breytast og nú legg ég til að flækja atburðarásina.
PowerShell Empire og Reverse Shell
Eitt af markmiðum þessarar æfingar er að sýna hvernig (tiltölulega) auðveldlega tölvuþrjótur getur framhjá klassískum jaðarvörnum og vírusvörnum. Ef upplýsingatæknibloggari án forritunarkunnáttu, eins og ég, getur gert það á nokkrum kvöldum (Alveg ógreindur, FUD), ímyndaðu þér getu ungs tölvuþrjóta sem hefur áhuga á þessu!
Og ef þú ert upplýsingatækniöryggisaðili, en yfirmaður þinn er ekki meðvitaður um hugsanlegar afleiðingar þessara ógna, þá skaltu bara sýna honum þessa grein.
Tölvuþrjóta dreymir um að fá beinan aðgang að fartölvu eða netþjóni fórnarlambsins. Þetta er mjög einfalt í framkvæmd: allt sem tölvuþrjótur þarf að gera er að fá nokkrar trúnaðarskrár á fartölvu forstjórans.
Einhvern veginn ég þegar um PowerShell Empire eftirvinnslutímann. Við skulum muna hvað það er.
Það er í rauninni PowerShell byggt skarpskyggni prófunartæki sem, meðal margra annarra eiginleika, gerir þér kleift að keyra öfuga skel auðveldlega. Þú getur kynnt þér það nánar á .
Gerum smá tilraun. Ég setti upp öruggt prófunarumhverfi fyrir spilliforrit í Amazon Web Services skýinu. Þú getur fylgst með mínu fordæmi til að sýna fljótt og örugglega virka dæmi um þennan varnarleysi (og ekki verða rekinn fyrir að keyra vírusa innan fyrirtækisins jaðar).
Ef þú ræsir PowerShell Empire stjórnborðið muntu sjá eitthvað á þessa leið:
Fyrst byrjarðu hlustunarferlið á tölvuþrjótatölvunni þinni. Sláðu inn skipunina „hlustandi“ og tilgreindu IP tölu kerfisins með því að nota „setja Host“. Byrjaðu síðan hlustunarferlið með "execute" skipuninni (fyrir neðan). Þannig af þinni hálfu muntu byrja að bíða eftir nettengingu frá ytri skelinni:
Fyrir hina hliðina þarftu að búa til umboðskóða með því að slá inn "ræsiforrit" skipunina (sjá hér að neðan). Þetta mun búa til PowerShell kóða fyrir ytri umboðsmanninn. Athugaðu að það er kóðað í Base64 og táknar annan áfanga farmsins. Með öðrum orðum, JavaScript kóðinn minn mun nú draga þennan umboðsmann til að keyra PowerShell í stað þess að prenta texta á skjáinn á saklausan hátt og tengjast ytri PSE netþjóninum okkar til að keyra öfuga skel.
Galdurinn við öfuga skel. Þessi kóðaða PowerShell skipun mun tengjast hlustandanum mínum og ræsa ytri skel.
Til að sýna þér þessa tilraun tók ég að mér hlutverk saklausa fórnarlambsins og opnaði Evil.doc og ræsti þar með JavaScript okkar. Manstu eftir fyrsta hlutanum? PowerShell hefur verið stillt til að koma í veg fyrir að gluggi hans birtist, svo fórnarlambið mun ekki taka eftir neinu óvenjulegu. Hins vegar, ef þú opnar Windows Task Manager, muntu sjá PowerShell ferli í bakgrunni sem mun ekki valda neinum viðvörun hjá flestum hvort sem er. Vegna þess að það er bara venjulegt PowerShell, er það ekki?
Nú þegar þú keyrir Evil.doc mun falið bakgrunnsferli tengjast þjóninum sem keyrir PowerShell Empire. Setti á mig hvíta pentester hakkarahúfuna mína, fór aftur í PowerShell Empire stjórnborðið og sé núna skilaboð um að ytri umboðsmaðurinn minn sé virkur.
Ég setti svo inn skipunina "samskipta" til að opna skel í PSE - og þarna var ég! Í stuttu máli þá hakkaði ég inn Taco serverinn sem ég setti upp sjálfur einu sinni.
Það sem ég sýndi fram á krefst ekki svo mikillar vinnu af þinni hálfu. Þú getur auðveldlega gert þetta allt í hádegishléinu þínu í eina eða tvær klukkustundir til að bæta upplýsingaöryggisþekkingu þína. Það er líka frábær leið til að skilja hvernig tölvuþrjótar fara framhjá ytri öryggisumhverfi þínu og komast inn í kerfin þín.
Upplýsingatæknistjórar sem halda að þeir hafi byggt upp órjúfanlega vörn gegn hvers kyns afskiptum mun líklega líka finna það fræðandi - það er að segja ef þú getur sannfært þá um að sitja nógu lengi hjá þér.
Snúum okkur aftur að raunveruleikanum
Eins og ég bjóst við er alvöru hakk, ósýnilegt meðalnotanda, einfaldlega afbrigði af því sem ég var að lýsa. Til að safna efni fyrir næstu útgáfu fór ég að leita að sýnishorni á HA sem virkar á sama hátt og uppfundið dæmið mitt. Og ég þurfti ekki að leita að því lengi - það eru margir möguleikar fyrir svipaða árásartækni á síðunni.
Spilliforritið sem ég fann að lokum á HA var VBA forskrift sem var fellt inn í Word skjal. Það er, ég þarf ekki einu sinni að falsa skjalviðbótina, þessi spilliforrit er í raun venjulegt Microsoft Word skjal. Ef þú hefur áhuga þá valdi ég þetta sýnishorn sem heitir .
Ég komst fljótt að því að oft er ekki hægt að draga illgjarn VBA forskrift beint út úr skjali. Tölvuþrjótar þjappa þeim saman og fela þær svo þær sjáist ekki í innbyggðu makróverkfærunum í Word. Þú þarft sérstakt verkfæri til að fjarlægja það. Sem betur fer rakst ég á skanni Frank Baldvin. Þakka þér, Frank.
Með því að nota þetta tól gat ég dregið út mjög óljósan VBA kóða. Það leit eitthvað á þessa leið:
Skýringin var unnin af fagfólki á sínu sviði. Ég var hrifinn!
Árásarmenn eru mjög góðir í að hylja kóða, ekki eins og tilraunir mínar við að búa til Evil.doc. Allt í lagi, í næsta hluta munum við taka út VBA villuleitina okkar, kafa aðeins dýpra í þennan kóða og bera saman greiningu okkar við niðurstöður HA.
Heimild: www.habr.com