Analisis hibrida nyegat perintah sing dienkode Base64 sing dikirim menyang PowerShell:
... banjur decode kanggo sampeyan. #ajaib
Π kirim sadurunge Aku nggawe wadah JavaScript sing rada obfuscated dhewe kanggo mbukak sesi PowerShell. Skripku, kaya pirang-pirang malware berbasis PowerShell, banjur ndownload skrip PowerShell ing ngisor iki saka situs web sing adoh. Banjur, minangka conto, aku ngemot PS sing ora mbebayani sing nyithak pesen ing layar. Nanging wektu saya ganti, lan saiki aku ngusulake nggawe skenario rumit.
PowerShell Empire lan Reverse Shell
Salah sawijining tujuan latihan iki yaiku kanggo nuduhake carane (relatif) gampang peretas bisa ngliwati pertahanan perimeter klasik lan antivirus. Yen blogger IT tanpa katrampilan program, kaya aku, bisa nindakake ing sawetara sore nggawe malware sing ora bisa dideteksi (kanthi ora dideteksi, FUD), mbayangno kemampuan peretas enom sing kasengsem ing iki!
Lan yen sampeyan minangka panyedhiya keamanan IT, nanging manajer sampeyan ora ngerti akibat saka ancaman kasebut, mung nuduhake artikel iki.
Peretas ngimpi entuk akses langsung menyang laptop utawa server korban. Iki gampang banget ditindakake: kabeh sing kudu ditindakake peretas yaiku entuk sawetara file rahasia ing laptop CEO.
Piye wae aku wis wrote babagan wektu pasca produksi PowerShell Empire. Ayo padha ngelingi apa iku.
Iki minangka alat tes penetrasi berbasis PowerShell sing, ing antarane akeh fitur liyane, ngidini sampeyan kanthi gampang mbukak cangkang mbalikke. Sampeyan bisa sinau kanthi luwih rinci ing situs ngarep PSE.
Ayo dadi eksperimen sethitik. Aku nyiyapake lingkungan testing malware aman ing maya Amazon Web Services. Sampeyan bisa ngetutake contoku kanggo nuduhake conto kerentanan iki kanthi cepet lan aman (lan ora dipecat amarga virus sing mlaku ing njero perimeter perusahaan).
Yen sampeyan miwiti konsol PowerShell Empire, sampeyan bakal weruh kaya iki:
Pisanan sampeyan miwiti proses pamireng ing komputer hacker. Ketik printah "listener", lan nemtokake alamat IP sistem sampeyan nggunakake "set Host". Banjur miwiti proses pamireng kanthi printah "eksekusi" (ing ngisor iki). Mangkono, ing sisih sampeyan, sampeyan bakal miwiti ngenteni sambungan jaringan saka cangkang remot:
Kanggo sisih liyane, sampeyan kudu nggawe kode agen kanthi ngetik printah "peluncur" (ndeleng ngisor). Iki bakal ngasilake kode PowerShell kanggo agen remot. Elinga yen dienkode ing Base64, lan nggantosi phase kapindho payload. Ing tembung liyane, kode JavaScript sandi saiki bakal narik agen iki kanggo mbukak PowerShell tinimbang innocuously printing teks menyang layar, lan nyambung menyang server PSE remot kita kanggo mbukak cangkang mbalikke.
Piandel cangkang mbalikke. Printah PowerShell kode iki bakal nyambung menyang pamirengku lan miwiti cangkang remot.
Saiki yen sampeyan mbukak Evil.doc, proses latar mburi sing didhelikake bakal nyambung menyang server sing nganggo PowerShell Empire. Nganggo topi hacker pentester putih, aku bali menyang konsol PowerShell Empire lan saiki ndeleng pesen manawa agen remotku aktif.
Aku banjur ngetik printah "interaksi" kanggo mbukak cangkang ing PSE - lan aku ana! Ing cendhak, aku disusupi server Taco sing aku nyetel dhewe sapisan.
Apa aku mung nuduhake ora mbutuhake akeh karya ing bagean sampeyan. Sampeyan bisa nindakake kabeh iki kanthi gampang sajrone istirahat nedha awan sajrone siji utawa rong jam kanggo nambah kawruh keamanan informasi. Iki uga cara sing apik kanggo ngerti kepiye peretas ngliwati perimeter keamanan eksternal lan mlebu ing sistem sampeyan.
Manajer IT sing mikir dheweke wis nggawe pertahanan sing ora bisa ditembus saka gangguan apa wae, mesthine bakal nemokake pendidikan - yaiku, yen sampeyan bisa ngyakinake dheweke supaya njagong karo sampeyan cukup suwe.
Malware sing pungkasane ditemokake ing HA yaiku skrip VBA sing dipasang ing dokumen Word. Tegese, aku ora perlu palsu ekstensi doc, malware iki pancene minangka dokumen Microsoft Word sing katon normal. Yen sampeyan kasengsem, aku milih sampel iki disebut rfq.doc.
Aku cepet sinau manawa sampeyan ora bisa langsung narik skrip VBA sing ala saka dokumen. Peretas ngompres lan ndhelikake supaya ora katon ing alat makro Word. Sampeyan mbutuhake alat khusus kanggo nyopot. Kebeneran aku ketemu scanner OfficeMalScanner Frank Baldwin. Matur nuwun, Frank.
Nggunakake alat iki, aku bisa narik metu kode VBA Highly obfuscated. Iku katon kaya iki:
Obfuscation ditindakake dening para profesional ing bidange. Aku kesengsem!
Attackers apik tenan ing obfuscating kode, ora kaya sandi efforts ing nggawe Evil.doc. Oke, ing bagean sabanjure kita bakal njupuk debugger VBA, nyilem luwih jero menyang kode iki lan mbandhingake analisis karo asil HA.