Ev gotar beşek ji rêzenivîsa Malware ya pelê ye. Hemû beşên din ên rêzê:
- Serpêhatiyên Malware Elusive, Beş II: Nivîsarên VBA yên veşartî (em li vir in)
Ez heyranê malperê me (analîzên hîbrîd, li vir HA). Ev celebek zozanek malware ye ku hûn dikarin bi ewlehî "neçîrvanên" çolê ji dûrek ewledar bêyî ku werin êrîş kirin temaşe bikin. HA malware li hawîrdorên ewledar dimeşîne, bangên pergalê, pelên afirandin û seyrûsefera Înternetê tomar dike, û ji bo her nimûneya ku analîz dike van hemî encaman dide we. Bi vî rengî, hûn ne hewce ne ku dem û enerjiya xwe winda bikin ku hûn bi xwe koda tevlihev derxînin, lê hûn dikarin tavilê niyetên hackeran fam bikin.
Nimûneyên HA yên ku bala min kişandin JavaScript-ên kodkirî an jî Visual Basic ji bo Serlêdan (VBA) skrîptên ku wekî makro di belgeyên Word an Excel-ê de hatine bicîh kirin û bi e-nameyên phishing ve hatine girêdan bikar tînin. Dema ku têne vekirin, van makro rûniştinek PowerShell li ser komputera mexdûr dest pê dikin. Hacker bi gelemperî şepêlek fermanên kodkirî yên Base64 ji PowerShell re dişînin. Ev hemî têne kirin da ku êrîş ji hêla fîlterên webê û nermalava antivirus ên ku bersivê didin hin keywords ve were dîtin dijwar be.
Xwezî, HA bixweber Base64-ê dekod dike û di cih de her tiştî bi rengek xwendinê nîşan dide. Di bingeh de, hûn ne hewce ne ku hûn bala xwe bidin ka van nivîsan çawa dixebitin ji ber ku hûn ê bikaribin di beşa têkildar a HA-yê de hilberîna fermana tevahî ji bo pêvajoyên xebitandinê bibînin. Mînaka jêrîn bibînin:
Analîza hîbrîd fermanên kodkirî yên Base64-ê yên ku ji PowerShell re hatine şandin digire:
...û paşê wan ji we re deşîfre dike. #bi efsûnî
В Min konteynera xweya JavaScriptê ya piçekî tevlihev afirand da ku danişînek PowerShell bimeşîne. Nivîsara min, mîna gelek malware-bingeha PowerShell-ê, dûv re skrîpta PowerShell-ê ya jêrîn ji malperek dûr dakêşîne. Dûv re, wekî mînak, min PSek bê zirar bar kir ku peyamek li ser ekranê çap kir. Lê dem diguherin, û naha ez pêşniyar dikim ku senaryoyê tevlihev bikim.
PowerShell Empire û Reverse Shell
Yek ji armancên vê temrînê ev e ku nîşan bide ka çawa (bi nisbetî) bi hêsanî hackerek dikare berevaniya perimeter û antivirusên klasîk derbas bike. Ger bloggerek IT bêyî jêhatîbûna bernamekirinê, mîna min, dikare di çend êvaran de bike (bi tevahî nediyar, FUD), kapasîteyên hackerek ciwan bi vê yekê re eleqedar bifikire!
Û heke hûn dabînkerek ewlehiya IT-ê ne, lê rêvebirê we ji encamên gengaz ên van tehdîdan nizane, tenê vê gotarê nîşanî wî bidin.
Hacker xeyal dikin ku rasterast bigihîjin laptop an servera qurban. Ev pir hêsan e: Tiştê ku hackerek hewce dike ku çend pelên nepenî li ser laptopa CEO bigire.
Bi awayekî min berê di derbarê dema xebitandina piştî hilberîna PowerShell Empire de. Ka em bînin bîra xwe ka ew çi ye.
Ew bi bingehîn amûrek ceribandina penetbûnê ya bingehîn a PowerShell-ê ye ku, di nav gelek taybetmendiyên din de, dihêle hûn bi hêsanî şêlek berevajî bimeşînin. Hûn dikarin wê bi hûrgulî li ser bixwînin .
Werin em ceribandinek piçûk bikin. Min di ewrê Karûbarên Webê yên Amazon de hawîrdorek ceribandina malware ya ewledar saz kir. Hûn dikarin mînaka min bişopînin da ku bi lez û bez mînakek xebatê ya vê qelsiyê nîşan bidin (û ji ber xebitandina vîrusên di hundurê perimeterê pargîdaniyê de neyên avêtin).
Ger hûn konsolê PowerShell Empire bidin destpêkirin, hûn ê tiştek weha bibînin:
Pêşî hûn pêvajoya guhdarvanan li ser komputera xweya hacker dest pê dikin. Fermana "guhdar" binivîse, û navnîşana IP-ya pergala xwe bi "set Host" diyar bike. Dûv re bi fermana "xebitandin" (li jêr) pêvajoya guhdaran dest pê bikin. Bi vî rengî, ji hêla we ve, hûn ê dest pê bikin li benda girêdanek torê ya ji şêlê dûr:
Ji bo aliyê din, hûn ê hewce bikin ku bi têketina fermana "destpêker" kodek agentê biafirînin (li jêr binêre). Ev ê koda PowerShell-ê ji bo nûnerê dûr çêbike. Bala xwe bidinê ku ew di Base64 de hatî kod kirin, û qonaxa duyemîn a bargiraniyê temsîl dike. Bi gotinek din, koda min a JavaScript-ê naha dê vê ajansê bikişîne da ku li şûna ku li şûna ku nivîsek bêserûber li ser ekranê çap bike, PowerShell-ê bixebitîne, û bi servera meya PSE-ya dûr ve girêde da ku şêlek berevajî bixebite.
Magic of shell berevajî. Vê fermana kodkirî ya PowerShell dê bi guhdarê min ve girêbide û şelekek dûr dest pê bike.
Ji bo ku vê ceribandinê nîşanî we bidim, min rola qurbanê bêguneh girt û Evil.doc vekir, bi vî rengî JavaScript-a me dest pê kir. Beşa yekem tê bîra we? PowerShell hatiye mîheng kirin ku pêşî li derketina pencereya xwe bigire, ji ber vê yekê mexdûr dê tiştek nedîtî ferq neke. Lêbelê, heke hûn Rêvebirê Peywira Windows-ê vekin, hûn ê pêvajoyek paşîn a PowerShell-ê bibînin ku dê her weha ji pir kesan re bibe sedema alarmê. Ji ber ku ew tenê PowerShell-a birêkûpêk e, ne wusa?
Naha gava ku hûn Evil.doc dimeşînin, pêvajoyek paşverû ya veşartî dê bi servera ku PowerShell Empire dimeşîne ve girêbide. Ez hatim şepê hackerê pentesterê spî, ez vegeriyam konsolxaneya PowerShell Empire û naha peyamek dibînim ku nûnerê min ê dûr çalak e.
Dûv re min ket fermana "têkilî" da ku di PSE de şêlek veke - û ez li wir bûm! Bi kurtasî, min servera Taco ya ku min xwe carekê saz kir hack kir.
Tiştê ku min tenê nîşan da, ji alîyê we ew qas xebat hewce nake. Hûn dikarin bi hêsanî van hemîyan di dema betlaneya xweya nîvroyê de yek an du demjimêran bikin da ku zanîna ewlehiya agahdariya xwe baştir bikin. Di heman demê de ew rêgezek girîng e ku meriv fêm bike ka hacker çawa dora ewlehiya weya derveyî derbas dikin û dikevin hundurê pergalên we.
Rêvebirên IT-ê yên ku difikirin ku wan li dijî her destwerdanê berevaniyek bêserûber ava kiriye, dê belkî wê jî perwerdehî bibînin - ango, heke hûn dikarin wan razî bikin ku têra xwe dirêj bi we re rûnin.
Werin em vegerin rastiyê
Wekî ku min li bendê bû, hackek rastîn, ku ji bikarhênerê navîn re nayê dîtin, bi tenê guhertoyek e ku min tenê diyar kir. Ji bo berhevkirina materyalê ji bo weşana din, min dest bi lêgerîna nimûneyek li ser HA kir ku bi heman awayê mînaka min a dahênerî dixebite. Û ne hewce bû ku ez demek dirêj lê bigerim - li ser malperê gelek vebijark ji bo teknîkek êrişek wusa hene.
Malwareya ku min di dawiyê de li ser HA dît, skrîptek VBA bû ku di belgeyek Wordê de hate bicîh kirin. Ango, ne hewce ye ku ez dirêjkirina belgeyê jî sexte bikim, ev malware bi rastî belgeyek Microsoft Word-ê ya normal e. Heke hûn eleqedar in, min ev nimûneya bi navê hilbijart .
Ez zû fêr bûm ku hûn bi gelemperî nekarin rasterast nivîsarên VBA yên xerab ji belgeyek derxînin. Hackers wan kom dikin û vedişêrin da ku ew di nav amûrên makro yên Word-ê de neyên dîtin. Ji bo rakirina wê hûn ê amûrek taybetî hewce bikin. Xwezî ez rastî skanerekê hatim Frank Baldwin. Spas dikim, Frank.
Bi karanîna vê amûrê, min karîbû koda VBA-ya pir tevlihev derxim. Tiştek weha xuya bû:
Nerazîbûn ji hêla pisporên di warê xwe de hate kirin. Ez bandor bûm!
Êrîşkar bi rastî di çespandina kodê de baş in, ne mîna hewildanên min ên di afirandina Evil.doc de. Baş e, di beşa pêş de em ê debugerên xwe yên VBA derxînin, hinekî kûrtir li vê kodê bigerin û analîza xwe bi encamên HA-yê re bidin ber hev.
Source: www.habr.com