🥇Elusive malware თავგადასავალი, ნაწილი II: საიდუმლო VBA სკრიპტები

ეს სტატია არის Fileless Malware სერიის ნაწილი. სერიის ყველა სხვა ნაწილი:

მიუღწეველი მავნე პროგრამის თავგადასავალი, ნაწილი I
Elusive Malware თავგადასავალი, ნაწილი II: დამალული VBA სკრიპტები (ჩვენ აქ ვართ)

საიტის ფანი ვარ ჰიბრიდული ანალიზი (ჰიბრიდული ანალიზი, შემდგომში HA). ეს არის ერთგვარი მავნე პროგრამის ზოოპარკი, სადაც შეგიძლიათ უსაფრთხოდ დააკვირდეთ ველურ „მტაცებლებს“ უსაფრთხო მანძილიდან თავდასხმის გარეშე. HA აწარმოებს მავნე პროგრამებს უსაფრთხო გარემოში, აღრიცხავს სისტემურ ზარებს, შექმნილ ფაილებს და ინტერნეტ ტრაფიკს და გაძლევთ ყველა ამ შედეგს მის მიერ გაანალიზებული თითოეული ნიმუშისთვის. ამ გზით, თქვენ არ უნდა დახარჯოთ თქვენი დრო და ენერგია დამაბნეველი კოდის გარკვევაში, მაგრამ დაუყოვნებლივ გაიგებთ ჰაკერების ყველა განზრახვას.

HA მაგალითები, რომლებმაც მიიპყრეს ჩემი ყურადღება, იყენებენ კოდირებულ JavaScript ან Visual Basic აპლიკაციებისთვის (VBA) სკრიპტებს, რომლებიც ჩაშენებულია მაკროებად Word ან Excel დოკუმენტებში და თან ერთვის ფიშინგ წერილებს. როდესაც გაიხსნება, ეს მაკროები იწყებენ PowerShell სესიას მსხვერპლის კომპიუტერზე. ჰაკერები, როგორც წესი, აგზავნიან ბრძანებების Base64 კოდირებულ ნაკადს PowerShell-ში. ეს ყველაფერი კეთდება იმისთვის, რომ თავდასხმა რთული აღმოჩნდეს ვებ ფილტრებით და ანტივირუსით, რომლებიც პასუხობენ გარკვეულ საკვანძო სიტყვებს.
საბედნიეროდ, HA ავტომატურად დეკოდირებს Base64-ს და აჩვენებს ყველაფერს წასაკითხად ფორმატში. არსებითად, თქვენ არ გჭირდებათ ფოკუსირება იმაზე, თუ როგორ მუშაობს ეს სკრიპტები, რადგან თქვენ შეძლებთ ნახოთ სრული ბრძანების გამომავალი მიმდინარე პროცესებისთვის HA-ს შესაბამის განყოფილებაში. იხილეთ მაგალითი ქვემოთ:

ჰიბრიდული ანალიზი წყვეტს Base64 კოდირებულ ბრძანებებს, რომლებიც გაგზავნილია PowerShell-ში:

...და შემდეგ გაშიფრავს მათ თქვენთვის. #ჯადოსნურად

В წინა პოსტი მე შევქმენი ჩემი ოდნავ ბუნდოვანი JavaScript კონტეინერი PowerShell სესიის გასაშვებად. ჩემი სკრიპტი, ისევე როგორც მრავალი PowerShell-ზე დაფუძნებული მავნე პროგრამა, შემდეგ ჩამოტვირთავს შემდეგ PowerShell სკრიპტს დისტანციური ვებსაიტიდან. შემდეგ, მაგალითად, ჩავტვირთე უვნებელი PS, რომელიც ბეჭდავდა შეტყობინებას ეკრანზე. მაგრამ დრო იცვლება და ახლა მე ვთავაზობ სცენარის გართულებას.

PowerShell Empire და Reverse Shell

ამ სავარჯიშოს ერთ-ერთი მიზანია აჩვენოს, თუ როგორ (შედარებით) მარტივად შეუძლია ჰაკერს გვერდის ავლით კლასიკური პერიმეტრის დაცვა და ანტივირუსები. თუ IT ბლოგერი პროგრამირების უნარების გარეშე, როგორც მე, შეუძლია ამის გაკეთება რამდენიმე საღამოს შექმენით შეუმჩნეველი მავნე პროგრამა (სრულიად ამოუცნობი, FUD), წარმოიდგინეთ ამით დაინტერესებული ახალგაზრდა ჰაკერის შესაძლებლობები!

და თუ თქვენ ხართ IT უსაფრთხოების პროვაიდერი, მაგრამ თქვენმა მენეჯერმა არ იცის ამ საფრთხეების შესაძლო შედეგების შესახებ, უბრალოდ აჩვენეთ მას ეს სტატია.

ჰაკერები ოცნებობენ მსხვერპლის ლეპტოპზე ან სერვერზე პირდაპირი წვდომის მოპოვებაზე. ამის გაკეთება ძალიან მარტივია: ჰაკერმა მხოლოდ უნდა მიიღოს რამდენიმე კონფიდენციალური ფაილი აღმასრულებელი დირექტორის ლეპტოპზე.

რატომღაც მე უკვე წერდა PowerShell Empire-ის პოსტპროდუქციის მუშაობის დროის შესახებ. გავიხსენოთ რა არის.

ეს არსებითად არის PowerShell-ზე დაფუძნებული შეღწევადობის ტესტირების ინსტრუმენტი, რომელიც, სხვა მრავალ მახასიათებელთან ერთად, საშუალებას გაძლევთ მარტივად აწარმოოთ საპირისპირო გარსი. შეგიძლიათ უფრო დეტალურად შეისწავლოთ აქ PSE მთავარი საიტი.

მოდით გავაკეთოთ პატარა ექსპერიმენტი. მე დავაყენე უსაფრთხო მავნე პროგრამის ტესტირების გარემო ამაზონის ვებ სერვისების ღრუბელში. თქვენ შეგიძლიათ მიჰყვეთ ჩემს მაგალითს, რომ სწრაფად და უსაფრთხოდ აჩვენოთ ამ დაუცველობის სამუშაო მაგალითი (და არ გათავისუფლდეთ საწარმოს პერიმეტრში ვირუსების გაშვებისთვის).

თუ გაუშვით PowerShell Empire კონსოლი, დაინახავთ მსგავსი რამ:

ჯერ იწყებთ მსმენელ პროცესს თქვენს ჰაკერულ კომპიუტერზე. შეიყვანეთ ბრძანება "მსმენელი" და მიუთითეთ თქვენი სისტემის IP მისამართი "set Host"-ის გამოყენებით. შემდეგ დაიწყეთ მსმენელის პროცესი ბრძანებით "შესრულება" (ქვემოთ). ამრიგად, თქვენი მხრივ, თქვენ დაიწყებთ ქსელის კავშირის მოლოდინს დისტანციური ჭურვიდან:

მეორე მხარისთვის დაგჭირდებათ აგენტის კოდის გენერირება „გამშვების“ ბრძანების შეყვანით (იხ. ქვემოთ). ეს შექმნის PowerShell კოდს დისტანციური აგენტისთვის. გაითვალისწინეთ, რომ ის დაშიფრულია Base64-ში და წარმოადგენს დატვირთვის მეორე ფაზას. სხვა სიტყვებით რომ ვთქვათ, ჩემი JavaScript კოდი ახლა ამ აგენტს გამოიყვანს PowerShell-ის გასაშვებად, ეკრანზე ტექსტის უვნებლად დაბეჭდვის ნაცვლად და დაუკავშირდება ჩვენს დისტანციურ PSE სერვერს საპირისპირო გარსის გასაშვებად.

საპირისპირო ჭურვის მაგია. ეს კოდირებული PowerShell ბრძანება დაუკავშირდება ჩემს მსმენელს და გამოუშვებს დისტანციურ გარსს.

ამ ექსპერიმენტის საჩვენებლად, მე ვითამაშე უდანაშაულო მსხვერპლის როლი და გავხსენი Evil.doc, რითაც გავუშვი ჩვენი JavaScript. გახსოვთ პირველი ნაწილი? PowerShell კონფიგურირებულია ისე, რომ თავიდან აიცილოს მისი ფანჯრის გამოჩენა, ასე რომ მსხვერპლი ვერ შეამჩნევს რაიმე უჩვეულოს. თუმცა, თუ გახსნით Windows Task Manager-ს, დაინახავთ PowerShell-ის ფონურ პროცესს, რომელიც მაინც არ გამოიწვევს სიგნალიზაციას ადამიანების უმეტესობისთვის. იმიტომ, რომ ეს არის ჩვეულებრივი PowerShell, არა?

ახლა, როდესაც თქვენ გაუშვით Evil.doc, ფარული ფონის პროცესი დაუკავშირდება სერვერს, რომელიც მუშაობს PowerShell Empire-ზე. ჩემი თეთრი პენტესტერული ჰაკერული ქუდის დაყენებით, დავბრუნდი PowerShell Empire-ის კონსოლში და ახლა ვხედავ შეტყობინებას, რომ ჩემი დისტანციური აგენტი აქტიურია.

შემდეგ შევიყვანე ბრძანება "interact" ჭურვის გასახსნელად PSE-ში - და მე ვიყავი! მოკლედ, ერთხელ მე თვითონ დავაყენე Taco სერვერი.

ის, რაც ახლა ვაჩვენე, არ მოითხოვს ამდენ შრომას თქვენი მხრიდან. თქვენ შეგიძლიათ მარტივად გააკეთოთ ეს ყველაფერი თქვენი ლანჩის დროს ერთი ან ორი საათის განმავლობაში, რათა გააუმჯობესოთ თქვენი ცოდნა ინფორმაციული უსაფრთხოების შესახებ. ეს ასევე შესანიშნავი გზაა იმის გასაგებად, თუ როგორ გვერდს უვლიან ჰაკერები თქვენს გარე უსაფრთხოების პერიმეტრს და შედიან თქვენს სისტემაში.

IT მენეჯერები, რომლებიც ფიქრობენ, რომ მათ შექმნეს შეუღწევადი დაცვა ნებისმიერი შეჭრისგან, ალბათ ასევე საგანმანათლებლო აღმოჩნდებიან - ანუ თუ შეძლებთ დაარწმუნოთ ისინი, რომ საკმარისად დიდხანს იჯდნენ თქვენთან ერთად.

დავუბრუნდეთ რეალობას

როგორც ველოდი, რეალური ჰაკი, უხილავი ჩვეულებრივი მომხმარებლისთვის, უბრალოდ ვარიაციაა იმისა, რაც ახლა აღვწერე. შემდეგი პუბლიკაციისთვის მასალის შესაგროვებლად დავიწყე HA-ზე ნიმუშის ძებნა, რომელიც მუშაობს ისევე, როგორც ჩემი გამოგონილი მაგალითი. და მე არ მომიწია მისი დიდხანს ძებნა - საიტზე მსგავსი თავდასხმის ტექნიკის მრავალი ვარიანტია.

მავნე პროგრამა, რომელიც საბოლოოდ ვიპოვე HA-ზე, იყო VBA სკრიპტი, რომელიც ჩართული იყო Word დოკუმენტში. ანუ, მე არც კი მჭირდება დოკუმენტის გაფართოების გაყალბება, ეს მავნე პროგრამა მართლაც ნორმალური გარეგნობის Microsoft Word დოკუმენტია. თუ გაინტერესებთ, მე ავირჩიე ეს ნიმუში ე.წ rfq.doc.

მე სწრაფად მივხვდი, რომ ხშირად არ შეგიძლიათ უშუალოდ მავნე VBA სკრიპტების ამოღება დოკუმენტიდან. ჰაკერები შეკუმშავს და მალავენ მათ ისე, რომ ისინი არ იყოს ხილული Word-ის ჩაშენებულ მაკრო ინსტრუმენტებში. მის მოსაშორებლად დაგჭირდებათ სპეციალური ხელსაწყო. საბედნიეროდ დამხვდა სკანერი OfficeMalScanner ფრენკ ბოლდუინი. გმადლობთ, ფრენკ.

ამ ხელსაწყოს გამოყენებით, მე შევძელი ძალიან ბუნდოვანი VBA კოდის ამოღება. ასე გამოიყურებოდა:

დაბინდვა გაკეთდა მათი დარგის პროფესიონალების მიერ. Გაოცებული ვიყავი!

თავდამსხმელები ნამდვილად კარგად ახდენენ კოდის დაბნელებას, არა როგორც ჩემი ძალისხმევა Evil.doc-ის შესაქმნელად. კარგი, შემდეგ ნაწილში ჩვენ ამოვიღებთ ჩვენს VBA გამართულებს, ჩავუღრმავდებით ამ კოდს და შევადარებთ ჩვენს ანალიზს HA შედეგებს.

წყარო: www.habr.com

Elusive Malware-ის თავგადასავალი, ნაწილი II: საიდუმლო VBA სკრიპტები

PowerShell Empire და Reverse Shell

დავუბრუნდეთ რეალობას

ახალი კომენტარის დამატება

Elusive Malware-ის თავგადასავალი, ნაწილი II: საიდუმლო VBA სკრიპტები

PowerShell Empire და Reverse Shell

დავუბრუნდეთ რეალობას

ახალი კომენტარის დამატება პასუხის გასაუქმებლად

ახალი კომენტარის დამატება