とらえどころのないマルウェアの冒険、パート II: 秘密の VBA スクリプト

この記事はファイルレス マルウェア シリーズの一部です。 シリーズの他のすべての部分:

• とらえどころのないマルウェアの冒険、パート I
• とらえどころのないマルウェアの冒険、パート II: 隠された VBA スクリプト (ここにいます)

私はそのサイトのファンです ハイブリッド解析 （ハイブリッド解析、以下HA）。 これは、野生の「捕食者」を攻撃されることなく安全な距離から安全に観察できる、一種のマルウェアの動物園です。 HA は安全な環境でマルウェアを実行し、システム コール、作成されたファイル、インターネット トラフィックを記録し、分析したサンプルごとにこれらすべての結果を提供します。 こうすることで、複雑なコードを自分で理解しようとして時間とエネルギーを無駄にする必要がなく、ハッカーの意図をすべてすぐに理解することができます。

私の注意を引いた HA の例では、コード化された JavaScript または Visual Basic for Applications (VBA) スクリプトが Word または Excel ドキュメントにマクロとして埋め込まれ、フィッシングメールに添付されています。 これらのマクロを開くと、被害者のコンピューター上で PowerShell セッションが開始されます。 通常、ハッカーは Base64 でエンコードされたコマンド ストリームを PowerShell に送信します。 これはすべて、特定のキーワードに応答する Web フィルターやウイルス対策ソフトウェアによる攻撃の検出を困難にするために行われます。
幸いなことに、HA は Base64 を自動的にデコードし、すべてを読み取り可能な形式ですぐに表示します。 基本的に、HA の対応するセクションで実行中のプロセスの完全なコマンド出力を確認できるため、これらのスクリプトがどのように機能するかに注目する必要はありません。 以下の例を参照してください。

ハイブリッド分析は、PowerShell に送信された Base64 エンコードされたコマンドをインターセプトします。

...そして、それらをデコードします。 #魔法のように

В 前の投稿 PowerShell セッションを実行するために、独自の少し難読化した JavaScript コンテナーを作成しました。 私のスクリプトは、多くの PowerShell ベースのマルウェアと同様に、リモート Web サイトから次の PowerShell スクリプトをダウンロードします。 次に、例として、画面にメッセージを表示する無害な PS をロードしました。 しかし時代は変わりつつあるので、私はシナリオを複雑にすることを提案します。

PowerShell Empire と Reverse Shell

この演習の目的の XNUMX つは、ハッカーが従来の境界防御とウイルス対策機能を (比較的) 簡単に回避できる方法を示すことです。 私のようにプログラミングスキルのない IT ブロガーでも、数晩でできるでしょう。 検出不可能なマルウェアを作成する (完全に検出されず、FUD)、これに興味を持つ若いハッカーの能力を想像してみてください。

また、あなたが IT セキュリティ プロバイダーでありながら、上司がこれらの脅威の起こり得る影響を認識していない場合は、この記事を見せてください。

ハッカーは、被害者のラップトップやサーバーに直接アクセスすることを夢見ています。 これは非常に簡単に実行できます。ハッカーが行う必要があるのは、CEO のラップトップにあるいくつかの機密ファイルを入手することだけです。

どういうわけか私はすでに 私が書きました PowerShell Empire ポストプロダクション ランタイムについて。 それが何なのか思い出してみましょう。

これは本質的に PowerShell ベースの侵入テスト ツールであり、他の多くの機能の中でも特にリバース シェルを簡単に実行できるようにします。 より詳細に学習できます。 PSEホームサイト.

ちょっと実験してみましょう。 アマゾン ウェブ サービス クラウドに安全なマルウェア テスト環境をセットアップしました。 私の例に従って、この脆弱性の実例を迅速かつ安全に示すことができます (企業の境界内でウイルスを実行するために解雇されることはありません)。

PowerShell Empire コンソールを起動すると、次のような内容が表示されます。

まず、ハッカー コンピュータでリスナー プロセスを開始します。 コマンド「listener」を入力し、「set Host」を使用してシステムの IP アドレスを指定します。 次に、「execute」コマンド (下記) でリスナープロセスを開始します。 したがって、ユーザー側では、リモート シェルからのネットワーク接続の待機を開始します。

もう一方の側では、「ランチャー」コマンドを入力してエージェント コードを生成する必要があります (下記を参照)。 これにより、リモート エージェントの PowerShell コードが生成されます。 これは Base64 でエンコードされており、ペイロードの第 XNUMX フェーズを表すことに注意してください。 つまり、JavaScript コードは、画面にテキストを無害に出力するのではなく、このエージェントをプルして PowerShell を実行し、リモート PSE サーバーに接続してリバース シェルを実行するようになります。

逆貝の魔法。 このコード化された PowerShell コマンドはリスナーに接続し、リモート シェルを起動します。

この実験を見せるために、私は無実の被害者の役割を引き受けて Evil.doc を開き、それによって JavaScript を起動しました。 最初の部分を覚えていますか? PowerShell はウィンドウがポップアップしないように構成されているため、被害者は異常に気付かないでしょう。 ただし、Windows タスク マネージャーを開くと、バックグラウンドで PowerShell プロセスが実行されていることがわかりますが、これはほとんどの人にとって何ら心配するものではありません。 だって、これは普通の PowerShell ですよね。

Evil.doc を実行すると、非表示のバックグラウンド プロセスが PowerShell Empire を実行しているサーバーに接続します。 白いペンテスター ハッカー ハットをかぶって Empire PowerShell コンソールに戻ると、リモート エージェントがアクティブであるというメッセージが表示されます。

次に、「interact」コマンドを入力して PSE でシェルを開きました。そして、そこにありました。 つまり、私は一度自分で立ち上げたTacoサーバーをハッキングしてしまいました。

私が今示したことは、あなたの側でそれほど多くの作業を必要とするものではありません。 これらすべてを昼休みの XNUMX ～ XNUMX 時間で簡単に行うことができ、情報セキュリティの知識を向上させることができます。 また、ハッカーがどのようにして外部のセキュリティ境界を回避し、システム内に侵入しているかを理解するための優れた方法でもあります。

あらゆる侵入に対して強固な防御を構築したと考えている IT 管理者も、おそらく勉強になると思うでしょう。つまり、十分に長く協力してくれるよう説得できればのことです。

現実に戻りましょう

私が予想したように、平均的なユーザーには見えない本当のハッキングは、私が今説明したものの単なるバリエーションにすぎません。 次の出版物の資料を収集するために、私が発明した例と同じように動作する HA のサンプルを探し始めました。 そして、長い間探す必要はありませんでした。サイトには同様の攻撃手法のオプションが多数ありました。

最終的に HA で発見したマルウェアは、Word 文書に埋め込まれた VBA スクリプトでした。 つまり、doc 拡張子を偽る必要さえありません。このマルウェアは実際には通常の Microsoft Word ドキュメントです。 興味があれば、私はこのサンプルを選択しました RFQ.doc.

多くの場合、悪意のある VBA スクリプトをドキュメントから直接取り出すことはできないことがすぐにわかりました。 ハッカーはこれらを圧縮して非表示にし、Word の組み込みマクロ ツールで表示されないようにします。 外すには専用工具が必要になります。 幸運にもスキャナーを見つけました オフィスマルスキャナー フランク・ボールドウィン。 ありがとう、フランク。

このツールを使用すると、高度に難読化された VBA コードを引き出すことができました。 次のような感じでした。

難読化はその分野の専門家によって行われました。 感動した！

私が Evil.doc を作成したのとは異なり、攻撃者はコードを難読化するのが非常に得意です。 さて、次のパートでは、VBA デバッガーを取り出し、このコードをもう少し深く掘り下げて、分析を HA の結果と比較します。

出所： habr.com