Artikel iki minangka bagΓ©an saka seri Fileless Malware. Kabeh bagean liyane saka seri:
- Adventures of the Elusive Malware, Part II: Skrip VBA sing Didhelikake (kita kene)
Aku penggemar situs (analisis hibrida, sabanjure HA). Iki minangka jinis zoo malware ing ngendi sampeyan bisa kanthi aman mirsani "predator" alam bΓ©bas saka jarak sing aman tanpa diserang. HA mbukak malware ing lingkungan aman, ngrekam telpon sistem, file digawe lan lalu lintas Internet, lan menehi kabeh asil iki kanggo saben sampel nganalisa. Kanthi cara iki, sampeyan ora kudu mbuwang wektu lan energi kanggo nemtokake kode sing mbingungake dhewe, nanging bisa langsung ngerti kabeh maksud peretas.
Conto HA sing narik kawigatosanku nggunakake skrip JavaScript utawa Visual Basic for Applications (VBA) sing ditempelake minangka makro ing dokumen Word utawa Excel lan dipasang ing email phishing. Nalika dibukak, makro iki miwiti sesi PowerShell ing komputer korban. Peretas biasane ngirim stream perintah sing dienkode Base64 menyang PowerShell. Iki kabeh ditindakake kanggo nggawe serangan angel dideteksi dening saringan web lan piranti lunak antivirus sing nanggapi tembung kunci tartamtu.
Untunge, HA kanthi otomatis decode Base64 lan langsung nampilake kabeh ing format sing bisa diwaca. Ateges, sampeyan ora kudu fokus ing carane Tulisan iki bisa amarga sampeyan bakal bisa ndeleng output printah lengkap kanggo pangolahan mlaku ing bagean HA sing cocog. Deleng conto ing ngisor iki:
Analisis hibrida nyegat perintah sing dienkode Base64 sing dikirim menyang PowerShell:
... banjur decode kanggo sampeyan. #ajaib
Π Aku nggawe wadah JavaScript sing rada obfuscated dhewe kanggo mbukak sesi PowerShell. Skripku, kaya pirang-pirang malware berbasis PowerShell, banjur ndownload skrip PowerShell ing ngisor iki saka situs web sing adoh. Banjur, minangka conto, aku ngemot PS sing ora mbebayani sing nyithak pesen ing layar. Nanging wektu saya ganti, lan saiki aku ngusulake nggawe skenario rumit.
PowerShell Empire lan Reverse Shell
Salah sawijining tujuan latihan iki yaiku kanggo nuduhake carane (relatif) gampang peretas bisa ngliwati pertahanan perimeter klasik lan antivirus. Yen blogger IT tanpa katrampilan program, kaya aku, bisa nindakake ing sawetara sore (kanthi ora dideteksi, FUD), mbayangno kemampuan peretas enom sing kasengsem ing iki!
Lan yen sampeyan minangka panyedhiya keamanan IT, nanging manajer sampeyan ora ngerti akibat saka ancaman kasebut, mung nuduhake artikel iki.
Peretas ngimpi entuk akses langsung menyang laptop utawa server korban. Iki gampang banget ditindakake: kabeh sing kudu ditindakake peretas yaiku entuk sawetara file rahasia ing laptop CEO.
Piye wae aku wis babagan wektu pasca produksi PowerShell Empire. Ayo padha ngelingi apa iku.
Iki minangka alat tes penetrasi berbasis PowerShell sing, ing antarane akeh fitur liyane, ngidini sampeyan kanthi gampang mbukak cangkang mbalikke. Sampeyan bisa sinau kanthi luwih rinci ing .
Ayo dadi eksperimen sethitik. Aku nyiyapake lingkungan testing malware aman ing maya Amazon Web Services. Sampeyan bisa ngetutake contoku kanggo nuduhake conto kerentanan iki kanthi cepet lan aman (lan ora dipecat amarga virus sing mlaku ing njero perimeter perusahaan).
Yen sampeyan miwiti konsol PowerShell Empire, sampeyan bakal weruh kaya iki:
Pisanan sampeyan miwiti proses pamireng ing komputer hacker. Ketik printah "listener", lan nemtokake alamat IP sistem sampeyan nggunakake "set Host". Banjur miwiti proses pamireng kanthi printah "eksekusi" (ing ngisor iki). Mangkono, ing sisih sampeyan, sampeyan bakal miwiti ngenteni sambungan jaringan saka cangkang remot:
Kanggo sisih liyane, sampeyan kudu nggawe kode agen kanthi ngetik printah "peluncur" (ndeleng ngisor). Iki bakal ngasilake kode PowerShell kanggo agen remot. Elinga yen dienkode ing Base64, lan nggantosi phase kapindho payload. Ing tembung liyane, kode JavaScript sandi saiki bakal narik agen iki kanggo mbukak PowerShell tinimbang innocuously printing teks menyang layar, lan nyambung menyang server PSE remot kita kanggo mbukak cangkang mbalikke.
Piandel cangkang mbalikke. Printah PowerShell kode iki bakal nyambung menyang pamirengku lan miwiti cangkang remot.
Kanggo nuduhake eksperimen iki, aku njupuk peran korban sing ora salah lan mbukak Evil.doc, saΓ©ngga ngluncurake JavaScript kita. Elingi bagean pisanan? PowerShell wis dikonfigurasi kanggo nyegah jendhela pop munggah, supaya korban ora bakal weruh apa-apa sing ora biasa. Nanging, yen sampeyan mbukak Windows Task Manager, sampeyan bakal weruh proses PowerShell latar mburi sing ora bakal nyebabake weker kanggo umume wong. Amarga mung PowerShell biasa, ta?
Saiki yen sampeyan mbukak Evil.doc, proses latar mburi sing didhelikake bakal nyambung menyang server sing nganggo PowerShell Empire. Nganggo topi hacker pentester putih, aku bali menyang konsol PowerShell Empire lan saiki ndeleng pesen manawa agen remotku aktif.
Aku banjur ngetik printah "interaksi" kanggo mbukak cangkang ing PSE - lan aku ana! Ing cendhak, aku disusupi server Taco sing aku nyetel dhewe sapisan.
Apa aku mung nuduhake ora mbutuhake akeh karya ing bagean sampeyan. Sampeyan bisa nindakake kabeh iki kanthi gampang sajrone istirahat nedha awan sajrone siji utawa rong jam kanggo nambah kawruh keamanan informasi. Iki uga cara sing apik kanggo ngerti kepiye peretas ngliwati perimeter keamanan eksternal lan mlebu ing sistem sampeyan.
Manajer IT sing mikir dheweke wis nggawe pertahanan sing ora bisa ditembus saka gangguan apa wae, mesthine bakal nemokake pendidikan - yaiku, yen sampeyan bisa ngyakinake dheweke supaya njagong karo sampeyan cukup suwe.
Ayo bali menyang kasunyatan
Kaya sing dakkarepake, hack nyata, sing ora katon kanggo pangguna rata-rata, mung minangka variasi saka sing dakkandhakake. Kanggo ngumpulake materi kanggo publikasi sabanjurΓ©, Aku miwiti looking for sampel ing HA sing dianggo ing cara sing padha karo conto nemokke sandi. Lan aku ora kudu nggoleki nganti suwe - ana akeh pilihan kanggo teknik serangan sing padha ing situs kasebut.
Malware sing pungkasane ditemokake ing HA yaiku skrip VBA sing dipasang ing dokumen Word. Tegese, aku ora perlu palsu ekstensi doc, malware iki pancene minangka dokumen Microsoft Word sing katon normal. Yen sampeyan kasengsem, aku milih sampel iki disebut .
Aku cepet sinau manawa sampeyan ora bisa langsung narik skrip VBA sing ala saka dokumen. Peretas ngompres lan ndhelikake supaya ora katon ing alat makro Word. Sampeyan mbutuhake alat khusus kanggo nyopot. Kebeneran aku ketemu scanner Frank Baldwin. Matur nuwun, Frank.
Nggunakake alat iki, aku bisa narik metu kode VBA Highly obfuscated. Iku katon kaya iki:
Obfuscation ditindakake dening para profesional ing bidange. Aku kesengsem!
Attackers apik tenan ing obfuscating kode, ora kaya sandi efforts ing nggawe Evil.doc. Oke, ing bagean sabanjure kita bakal njupuk debugger VBA, nyilem luwih jero menyang kode iki lan mbandhingake analisis karo asil HA.
Source: www.habr.com