Бұл мақала Файлсыз зиянды бағдарламалар сериясының бөлігі болып табылады. Серияның барлық басқа бөліктері:
- Қиындықсыз зиянды бағдарламаның оқиғалары, II бөлім: жасырын VBA сценарийлері (біз осындамыз)
Мен сайттың жанкүйерімін (гибридтік талдау, бұдан әрі ХА). Бұл зиянды бағдарлама хайуанаттар бағының бір түрі, онда сіз жабайы «жыртқыштарды» қауіпсіз қашықтықтан шабуылсыз бақылай аласыз. HA қауіпсіз орталарда зиянды бағдарламаны іске қосады, жүйелік қоңырауларды, жасалған файлдарды және интернет-трафикті жазады және талдау жасайтын әрбір үлгі үшін осы нәтижелердің барлығын береді. Осылайша, шатастыратын кодты өзіңіз анықтауға уақытыңыз бен күшіңізді ысырап етпейсіз, бірақ хакерлердің барлық ниетін бірден түсіне аласыз.
Менің назарымды аударған HA мысалдары Word немесе Excel құжаттарында макростар ретінде ендірілген және фишингтік электрондық пошталарға тіркелген кодталған JavaScript немесе Visual Basic for Applications (VBA) сценарийлерін пайдаланады. Ашылған кезде, бұл макростар жәбірленушінің компьютерінде PowerShell сеансын бастайды. Хакерлер әдетте PowerShell бағдарламасына Base64 кодталған пәрмендер ағынын жібереді. Мұның бәрі белгілі бір кілт сөздерге жауап беретін веб-сүзгілер мен антивирустық бағдарламалық құрал арқылы шабуылды анықтауды қиындату үшін жасалады.
Бақытымызға орай, HA Base64 кодты автоматты түрде шешеді және барлығын бірден оқылатын пішімде көрсетеді. Негізінде, бұл сценарийлердің қалай жұмыс істейтініне назар аударудың қажеті жоқ, себебі сіз HA сәйкес бөлімінде іске қосылған процестерге арналған толық пәрмен шығысын көре аласыз. Төмендегі мысалды қараңыз:
Гибридті талдау PowerShell бағдарламасына жіберілген Base64 кодталған пәрмендерін тоқтатады:
...содан кейін оларды сіз үшін декодтау. #сиқырлы
В Мен PowerShell сеансын іске қосу үшін аздап түсініксіз JavaScript контейнерін жасадым. Менің сценарийім, көптеген PowerShell негізіндегі зиянды бағдарламалар сияқты, қашықтағы веб-сайттан келесі PowerShell сценарийін жүктеп алады. Содан кейін, мысал ретінде, мен экранда хабарлама басып шығаратын зиянсыз PS жүктедім. Бірақ уақыт өзгеріп жатыр, енді мен сценарийді қиындатуды ұсынамын.
PowerShell империясы және кері қабық
Бұл жаттығудың мақсаттарының бірі хакердің классикалық периметрлік қорғаныс пен антивирустарды қалай (салыстырмалы түрде) оңай айналып өтетінін көрсету болып табылады. Егер мен сияқты бағдарламалау дағдысы жоқ IT блогер бір-екі кеште мұны істей алады (толығымен анықталмаған, FUD), бұған қызығушылық танытқан жас хакердің мүмкіндіктерін елестетіп көріңіз!
Ал егер сіз АТ-қауіпсіздік провайдері болсаңыз, бірақ сіздің менеджеріңіз осы қауіптердің ықтимал салдары туралы білмесе, оған осы мақаланы көрсетіңіз.
Хакерлер жәбірленушінің ноутбукіне немесе серверіне тікелей қол жеткізуді армандайды. Мұны істеу өте қарапайым: хакерге тек бас директордың ноутбугындағы бірнеше құпия файлдарды алу керек.
Мен әлдеқашан PowerShell Empire өндірістен кейінгі орындалу уақыты туралы. Оның не екенін еске түсірейік.
Бұл PowerShell негізіндегі енуді тексеру құралы, ол көптеген басқа мүмкіндіктермен қатар кері қабықты оңай іске қосуға мүмкіндік береді. Оны толығырақ мына жерден оқи аласыз .
Кішкене эксперимент жасайық. Мен Amazon Web Services бұлтында қауіпсіз зиянды бағдарламаны тексеру ортасын орнаттым. Осы осалдықтың жұмыс үлгісін жылдам және қауіпсіз көрсету үшін (және кәсіпорын периметрі ішінде вирустарды іске қосу үшін жұмыстан шығарылмау үшін) менің үлгісіме жүгінуге болады.
PowerShell Empire консолін іске қоссаңыз, келесідей нәрсені көресіз:
Алдымен сіз хакер компьютеріңізде тыңдау процесін бастайсыз. «Тыңдаушы» пәрменін енгізіңіз және «Хост орнату» арқылы жүйенің IP мекенжайын көрсетіңіз. Содан кейін тыңдаушы процесін «орындау» пәрменімен бастаңыз (төменде). Осылайша, сіз қашықтағы қабықтан желілік қосылымды күте бастайсыз:
Екінші жағынан, сіз «іске қосу» пәрменін енгізу арқылы агент кодын жасауыңыз керек (төменде қараңыз). Бұл қашықтағы агент үшін PowerShell кодын жасайды. Оның Base64-те кодталғанын және пайдалы жүктеменің екінші фазасын білдіретінін ескеріңіз. Басқаша айтқанда, менің JavaScript кодым экранға мәтінді зиянсыз басып шығарудың орнына PowerShell-ді іске қосу үшін осы агентті тартады және кері қабықты іске қосу үшін қашықтағы PSE серверіне қосылады.
Кері қабықтың сиқыры. Бұл кодталған PowerShell пәрмені тыңдаушыма қосылып, қашықтағы қабықты іске қосады.
Сізге бұл экспериментті көрсету үшін мен жазықсыз құрбанның рөлін алдым және Evil.doc аштым, осылайша JavaScript-ті іске қостым. Бірінші бөлім есіңізде ме? PowerShell бағдарламасы терезенің пайда болуына жол бермеу үшін конфигурацияланған, сондықтан жәбірленуші әдеттен тыс ештеңе байқамайды. Дегенмен, Windows тапсырмалар реттеушісін ашсаңыз, көптеген адамдарға бәрібір дабыл тудырмайтын фондық PowerShell процесін көресіз. Өйткені бұл қарапайым PowerShell, солай емес пе?
Енді Evil.doc іске қосылғанда, жасырын фондық процесс PowerShell Empire іске қосылған серверге қосылады. Ақ пентестер хакер қалпағымды киіп, мен PowerShell Empire консоліне оралдым және енді қашықтағы агентім белсенді екендігі туралы хабарды көрдім.
Содан кейін мен PSE-де қабықты ашу үшін «өзара әрекет ету» пәрменін енгіздім - мен сонда болдым! Қысқасы, мен бір рет өзім орнатқан Taco серверін бұздым.
Менің жаңа ғана көрсеткенім сізден көп жұмысты қажет етпейді. Ақпараттық қауіпсіздік туралы біліміңізді жақсарту үшін бір-екі сағат түскі үзіліс кезінде мұның бәрін оңай жасауға болады. Бұл сонымен қатар хакерлердің сыртқы қауіпсіздік периметрін айналып өтіп, жүйелеріңізге қалай кіріп жатқанын түсінудің тамаша тәсілі.
Кез келген шабуылдан қорғанбайтын қорғаныс құрдым деп ойлайтын АТ-менеджерлер де мұны тәрбиелік деп санайтын шығар, яғни оларды сізбен жеткілікті ұзақ отыруға көндіре алсаңыз.
Шындыққа оралайық
Мен күткендей, қарапайым пайдаланушыға көрінбейтін шынайы бұзу - бұл мен сипаттаған нәрсенің бір нұсқасы. Келесі жарияланымға материал жинау үшін мен ойлап тапқан мысалмен бірдей жұмыс істейтін HA үлгісін іздей бастадым. Маған оны ұзақ уақыт іздеудің қажеті жоқ - сайтта ұқсас шабуыл техникасының көптеген нұсқалары бар.
Мен HA-да тапқан зиянды бағдарлама Word құжатына ендірілген VBA сценарийі болды. Яғни, маған құжат кеңейтімін қолдан жасаудың қажеті жоқ, бұл зиянды бағдарлама шын мәнінде қалыпты көрінетін Microsoft Word құжаты. Егер сізді қызықтыратын болса, мен осы үлгіні таңдадым .
Мен зиянды VBA сценарийлерін құжаттан жиі шығара алмайтыныңызды тез білдім. Хакерлер оларды Word бағдарламасының кірістірілген макрос құралдарында көрінбеуі үшін қысып, жасырады. Оны жою үшін сізге арнайы құрал қажет. Бақытымызға орай, мен сканерге тап болдым Фрэнк Болдуин. Рахмет, Фрэнк.
Осы құралды қолдана отырып, мен өте түсініксіз VBA кодын шығара алдым. Бұл келесідей көрінді:
Түсініктемені өз саласының кәсіби мамандары жасады. Мен таңқалдым!
Шабуылшылар менің Evil.doc жасаудағы күш-жігерім сияқты емес, кодты бұрмалауда өте жақсы. Жарайды, келесі бөлімде біз VBA отладчиктерін шығарамыз, осы кодқа сәл тереңірек енеміз және талдауымызды HA нәтижелерімен салыстырамыз.
Ақпарат көзі: www.habr.com