Бул макала Fileless зыяндуу программалар сериясынын бир бөлүгү болуп саналат. Сериянын бардык башка бөлүктөрү:
- Күтүлбөгөн кесепеттүү программанын укмуштуу окуялары, II бөлүк: Жашыруун VBA скрипттери (биз бул жердебиз)
Мен сайттын күйөрманымын (гибриддик анализ, мындан ары ХА). Бул зыяндуу зоопарктын бир түрү, анда жапайы "жырткычтарды" коопсуз аралыктан кол салууга кабылбастан байкоого болот. HA коопсуз чөйрөлөрдө кесепеттүү программаны иштетет, тутумдук чалууларды, түзүлгөн файлдарды жана интернет трафигин жаздырат жана ал анализдеген ар бир үлгү үчүн ушул натыйжалардын баарын берет. Ошентип, сиз чаташкан кодду өзүңүз чечүүгө аракет кылып, убактыңызды жана күчүңүздү текке кетирбешиңиз керек, бирок хакерлердин бардык ниетин дароо түшүнө аласыз.
Менин көңүлүмдү бурган HA мисалдарында Word же Excel документтеринде макрос катары камтылган жана фишинг электрондук почталарына тиркелген коддолгон JavaScript же Visual Basic for Applications (VBA) скрипттери колдонулат. Ачылганда, бул макростор жабырлануучунун компьютеринде PowerShell сеансын баштайт. Хакерлер адатта PowerShellге Base64 коддолгон буйрук агымын жөнөтүшөт. Мунун баары белгилүү бир ачкыч сөздөргө жооп берген веб чыпкалар жана антивирустук программалар аркылуу чабуулду аныктоону кыйындатуу үчүн жасалат.
Бактыга жараша, HA Base64ти автоматтык түрдө чечмелеп, баарын дароо окула турган форматта көрсөтөт. Негизи, бул скрипттердин кантип иштешине көңүл буруунун кажети жок, анткени сиз HAнын тиешелүү бөлүмүндө иштеп жаткан процесстер үчүн толук буйрук чыгарууну көрө аласыз. Төмөндөгү мисалды караңыз:
Гибриддик анализ PowerShellге жөнөтүлгөн Base64 коддолгон буйруктарын кармайт:
... анан аларды сиз үчүн чечмелейт. #сыйкырдуу
В Мен PowerShell сеансын иштетүү үчүн өзүмдүн бир аз бүдөмүк JavaScript контейнеримди түздүм. Менин скриптим, көптөгөн PowerShell негизиндеги зыяндуу программалар сыяктуу, андан кийин төмөнкү PowerShell скриптин алыскы веб-сайттан жүктөп алат. Андан кийин, мисал катары, мен экранда билдирүү басып чыгарган зыянсыз PS жүктөдүм. Бирок заман өзгөрүп жатат, эми мен сценарийди татаалдаштырууну сунуштайм.
PowerShell империясы жана Reverse Shell
Бул көнүгүүнүн максаттарынын бири хакер классикалык периметрдик коргонууну жана антивирустарды кантип (салыштырмалуу) оңой эле айланып өтөөрүн көрсөтүү. Эгер мен сыяктуу программалоо жөндөмү жок IT-блогер бир-эки кечинде муну жасай алат (толугу менен аныкталбаган, FUD), буга кызыккан жаш хакердин мүмкүнчүлүктөрүн элестетип көрүңүз!
Эгер сиз IT коопсуздук камсыздоочусу болсоңуз, бирок сиздин менеджериңиз бул коркунучтардын мүмкүн болуучу кесепеттерин билбесе, ага ушул макаланы көрсөтүңүз.
Хакерлер жабырлануучунун ноутбукуна же серверине түз кирүүнү кыялданышат. Муну жасоо абдан жөнөкөй: хакерге башкы директордун ноутбукуна бир нече купуя файлдарды алуу гана керек.
Негедир мен уже PowerShell империясынын өндүрүштөн кийинки иштөө убактысы жөнүндө. Анын эмне экенин эстеп көрөлү.
Бул, негизинен, PowerShell негизиндеги кирүүгө тестирлөө куралы, ал көптөгөн башка функциялардын арасында тескери кабыкты оңой иштетүүгө мүмкүндүк берет. Бул жерден кененирээк изилдей аласыз .
Келгиле, бир аз эксперимент жасайлы. Мен Amazon Web Services булутунда коопсуз кесепеттүү программаны текшерүү чөйрөсүн түздүм. Бул алсыздыктын жумушчу үлгүсүн тез жана коопсуз көрсөтүү үчүн менин үлгүмө ээрчисеңиз болот (жана ишкананын периметринде вирустарды иштетүү үчүн иштен алынбаңыз).
Эгер сиз PowerShell Empire консолун ишке киргизсеңиз, сиз төмөнкүдөй нерсени көрөсүз:
Адегенде сиз хакердик компьютериңизде угуучу процессин баштайсыз. "Угуучу" буйругун киргизиңиз жана "Хост коюу" аркылуу тутумуңуздун IP дарегин көрсөтүңүз. Андан кийин угуучу процессти "аткаруу" буйругу менен баштаңыз (төмөндө). Ошентип, сиз өз тарапыңыздан алыскы кабыктан тармактык туташууну күтө баштайсыз:
Башка тарап үчүн, сиз "ишке киргизгич" буйругун киргизүү менен агенттин кодун түзүшүңүз керек болот (төмөндө караңыз). Бул алыскы агент үчүн PowerShell кодун жаратат. Ал Base64 менен коддолгонуна көңүл буруңуз жана пайдалуу жүктүн экинчи фазасын билдирет. Башкача айтканда, менин JavaScript коду эми экранга текстти зыянсыз басып чыгаруунун ордуна PowerShellди иштетүү үчүн бул агентти тартат жана тескери кабыкты иштетүү үчүн алыскы PSE серверибизге туташат.
Тескери кабыктын сыйкыры. Бул коддолгон PowerShell буйругу менин угуучума туташып, алыскы кабыкты ишке киргизет.
Бул экспериментти сизге көрсөтүү үчүн мен бейкүнөө курмандыктын ролун алдым жана Evil.docти ачып, ошону менен биздин JavaScript-ти ишке киргиздим. Биринчи бөлүгү эсиңиздеби? PowerShell анын терезеси ачылбашы үчүн конфигурацияланган, андыктан жабырлануучу адаттан тыш эч нерсени байкабайт. Бирок, эгер сиз Windows Тапшырма башкаргычын ачсаңыз, сиз PowerShell фон процессин көрөсүз, ал баары бир көпчүлүк адамдар үчүн эч кандай ойготкуч жаратпайт. Анткени бул кадимки PowerShell, туурабы?
Эми Evil.doc иштеткенде, жашыруун фон процесси PowerShell Empire иштеткен серверге туташат. Ак пентестер хакер шляпамды кийип, мен PowerShell Empire консолуна кайтып келдим жана азыр менин алыскы агентим активдүү деген билдирүүнү көрдүм.
Мен андан кийин PSEде кабык ачуу үчүн "өз ара аракеттенүү" буйругун киргиздим - жана мен ошол жерде болдум! Кыскасы, мен бир жолу өзүм орноткон Taco серверин бузуп алдым.
Мен көрсөткөн нерсе сизден мынчалык көп эмгекти талап кылбайт. Маалыматтык коопсуздук боюнча билимиңизди өркүндөтүү үчүн түшкү тыныгууда бир же эки саатка мунун баарын оңой эле кыла аласыз. Бул ошондой эле хакерлер сиздин тышкы коопсуздук периметриңизди айланып өтүп, системаларыңызга кантип кирип жатканын түшүнүүнүн эң сонун жолу.
Кандайдыр бир интрузиядан өтпөс коргонууну курдум деп ойлогон IT-менеджерлер, балким, бул билимдүү деп да табышы мүмкүн, башкача айтканда, эгер сиз аларды сиз менен жетиштүү убакыт отурууга көндүрө алсаңыз.
Келгиле, чындыкка кайрылалы
Мен күткөндөй, карапайым колдонуучуга көрүнбөгөн чыныгы хакерлик - бул мен сүрөттөгөн нерсенин жөн гана вариациясы. Кийинки басылмага материал чогултуу үчүн мен ойлоп тапкан үлгүмдөй иштеген HA үлгүсүн издей баштадым. Мен аны көпкө издешим керек эмес - сайтта ушул сыяктуу чабуул техникасынын көптөгөн варианттары бар.
Акыры мен HAдан тапкан зыяндуу программа Word документинде камтылган VBA скрипти болчу. Башкача айтканда, мага док кеңейтүүсүн жасалмалоонун деле кереги жок, бул кесепеттүү программа чындап эле кадимки Microsoft Word документи. Эгер сизди кызыктырсаңыз, мен бул үлгүнү тандадым .
Мен тез эле документтен зыяндуу VBA скрипттерин түз чыгара албасыңызды түшүндүм. Хакерлер Word'тун орнотулган макро куралдарында көрүнбөшү үчүн аларды кысып, жашырышат. Аны алып салуу үчүн атайын курал керек. Бактыга жараша мен сканерге туш болдум Фрэнк Болдуин. Рахмат, Фрэнк.
Бул куралды колдонуп, мен өтө түшүнүксүз VBA кодун чыгара алдым. Ал мындай көрүндү:
Түшүндүрүү иштерин өз тармагындагы адистер жасашкан. Мен таасирлендим!
Кол салгандар менин Evil.doc түзүү аракеттериме окшоп эмес, кодду бүдөмүк кылууда абдан жакшы. Макул, кийинки бөлүктө биз VBA мүчүлүштүктөрдү оңдоочуларыбызды чыгарып, бул кодго бир аз тереңирээк кирип, анализибизди HA натыйжалары менен салыштырабыз.
Source: www.habr.com