Å is raksts ir daļa no Fileless ļaunprÄtÄ«gas programmatÅ«ras sÄrijas. Visas pÄrÄjÄs sÄrijas daļas:
- NetveramÄs ļaunprogrammatÅ«ras piedzÄ«vojumi, II daļa: slÄptie VBA skripti (esam Å”eit)
Esmu vietnes cienÄ«tÄjs (hibrÄ«da analÄ«ze, turpmÄk HA). Å is ir sava veida ļaunprÄtÄ«gas programmatÅ«ras zooloÄ£iskais dÄrzs, kurÄ varat droÅ”i novÄrot savvaļas āplÄsÄjusā no droÅ”a attÄluma bez uzbrukumiem. HA izmanto ļaunprÄtÄ«gu programmatÅ«ru droÅ”Ä vidÄ, reÄ£istrÄ sistÄmas zvanus, izveidotos failus un interneta trafiku un sniedz visus Å”os rezultÄtus par katru analizÄto paraugu. TÄdÄ veidÄ jums nav jÄtÄrÄ laiks un enerÄ£ija, mÄÄ£inot paÅ”am izdomÄt mulsinoÅ”o kodu, bet jÅ«s varat uzreiz saprast visus hakeru nodomus.
HA piemÄri, kas pievÄrsa manu uzmanÄ«bu, izmanto vai nu kodÄtus JavaScript vai Visual Basic for Applications (VBA) skriptus, kas iegulti kÄ makro Word vai Excel dokumentos un pievienoti pikŔķerÄÅ”anas e-pastiem. Atverot Å”os makro, tie upura datorÄ sÄk PowerShell sesiju. Hakeri parasti nosÅ«ta Base64 kodÄtu komandu straumi uz PowerShell. Tas viss tiek darÄ«ts, lai tÄ«mekļa filtriem un pretvÄ«rusu programmatÅ«rai, kas reaÄ£Ä uz noteiktiem atslÄgvÄrdiem, bÅ«tu grÅ«ti atklÄt uzbrukumu.
Par laimi, HA automÄtiski atkodÄ Base64 un visu uzreiz parÄda lasÄmÄ formÄtÄ. BÅ«tÄ«bÄ jums nav jÄkoncentrÄjas uz to, kÄ Å”ie skripti darbojas, jo jÅ«s varÄsit redzÄt pilnu komandu izvadi palaistajiem procesiem attiecÄ«gajÄ HA sadaļÄ. SkatÄ«t piemÄru zemÄk:
HibrÄ«da analÄ«ze pÄrtver Base64 kodÄtas komandas, kas nosÅ«tÄ«tas uz PowerShell:
...un pÄc tam tos atÅ”ifrÄ jÅ«su vietÄ. #maÄ£iski
Š Es izveidoju savu nedaudz neskaidru JavaScript konteineru, lai palaistu PowerShell sesiju. Mans skripts, tÄpat kÄ daudzas uz PowerShell balstÄ«tas ļaunprÄtÄ«gas programmatÅ«ras, pÄc tam lejupielÄdÄ tÄlÄk norÄdÄ«to PowerShell skriptu no attÄlas vietnes. Tad, piemÄram, es ielÄdÄju nekaitÄ«gu PS, kas uz ekrÄna izdrukÄja ziÅojumu. Bet laiki mainÄs, un tagad es ierosinu sarežģīt scenÄriju.
PowerShell Empire un Reverse Shell
Viens no Ŕī uzdevuma mÄrÄ·iem ir parÄdÄ«t, cik (salÄ«dzinoÅ”i) viegli hakeris var apiet klasiskÄs perimetra aizsardzÄ«bas un antivÄ«rusus. Ja IT blogeris bez programmÄÅ”anas prasmÄm, kÄ es, to var izdarÄ«t pÄris vakaros (pilnÄ«gi neatklÄts, FUD), iedomÄjieties jauna hakera iespÄjas, kuru tas interesÄ!
Un, ja esat IT droŔības nodroÅ”inÄtÄjs, bet jÅ«su vadÄ«tÄjs nav informÄts par Å”o draudu iespÄjamÄm sekÄm, vienkÄrÅ”i parÄdiet viÅam Å”o rakstu.
Hakeri sapÅo iegÅ«t tieÅ”u piekļuvi upura klÄpjdatoram vai serverim. Tas ir ļoti vienkÄrÅ”i izdarÄms: viss, kas hakeram jÄdara, ir jÄiegÅ«st daži konfidenciÄli faili izpilddirektora klÄpjdatorÄ.
Kaut kÄ jau es par PowerShell Empire pÄcapstrÄdes izpildlaiku. AtcerÄsimies, kas tas ir.
Tas bÅ«tÄ«bÄ ir uz PowerShell balstÄ«ts iespieÅ”anÄs pÄrbaudes rÄ«ks, kas lÄ«dzÄs daudzÄm citÄm funkcijÄm ļauj viegli palaist reverso apvalku. JÅ«s varat to izpÄtÄ«t sÄ«kÄk vietnÄ .
Veiksim nelielu eksperimentu. Es iestatÄ«ju droÅ”u ļaunprÄtÄ«gas programmatÅ«ras testÄÅ”anas vidi Amazon Web Services mÄkonÄ«. Varat sekot manam piemÄram, lai Ätri un droÅ”i parÄdÄ«tu Ŕīs ievainojamÄ«bas piemÄru (un netiktu atlaists par vÄ«rusu palaiÅ”anu uzÅÄmuma perimetrÄ).
Ja palaižat PowerShell Empire konsoli, jÅ«s redzÄsit kaut ko lÄ«dzÄ«gu:
Vispirms sÄciet klausÄ«tÄja procesu savÄ hakeru datorÄ. Ievadiet komandu "klausÄ«tÄjs" un norÄdiet savas sistÄmas IP adresi, izmantojot "set Host". PÄc tam sÄciet klausÄ«tÄja procesu ar komandu "execute" (zemÄk). TÄdÄjÄdi no jÅ«su puses jÅ«s sÄksit gaidÄ«t tÄ«kla savienojumu no attÄlÄs Äaulas:
Otrai pusei jums bÅ«s jÄÄ£enerÄ aÄ£enta kods, ievadot komandu "palaidÄjs" (skatiet tÄlÄk). TÄdÄjÄdi attÄlajam aÄ£entam tiks Ä£enerÄts PowerShell kods. Å
emiet vÄrÄ, ka tas ir kodÄts Base64 un apzÄ«mÄ lietderÄ«gÄs slodzes otro fÄzi. Citiem vÄrdiem sakot, mans JavaScript kods tagad piesaistÄ«s Å”im aÄ£entam, lai palaistu PowerShell, nevis nekaitÄ«gi drukÄtu tekstu uz ekrÄna, un izveidos savienojumu ar mÅ«su attÄlo PSE serveri, lai palaistu apgriezto apvalku.
ApgrieztÄ apvalka burvÄ«ba. Å Ä« kodÄtÄ PowerShell komanda izveidos savienojumu ar manu klausÄ«tÄju un palaidÄ«s attÄlo apvalku.
Š§ŃŠ¾Š±Ń ŠæŠ¾ŠŗŠ°Š·Š°ŃŃ Š²Š°Š¼ ŃŃŠ¾Ń ŃŠŗŃŠæŠµŃŠøŠ¼ŠµŠ½Ń, Ń Š²Š·ŃŠ» Š½Š° ŃŠµŠ±Ń ŃŠ¾Š»Ń Š½ŠµŠ²ŠøŠ½Š½Š¾Š¹ Š¶ŠµŃŃŠ²Ń Šø Š¾ŃŠŗŃŃŠ» Evil.doc, ŃŠµŠ¼ ŃŠ°Š¼ŃŠ¼ Š·Š°ŠæŃŃŃŠøŠ² Š½Š°Ń JavaScript. ŠŠ¾Š¼Š½ŠøŃŠµ ŠæŠµŃŠ²ŃŃ ŃŠ°ŃŃŃ? PowerShell Š±ŃŠ» Š½Š°ŃŃŃŠ¾ŠµŠ½ ŃŠ°Šŗ, ŃŃŠ¾Š±Ń ŠµŠ³Š¾ Š¾ŠŗŠ½Š¾ Š½Šµ Š²ŃŠæŠ»ŃŠ²Š°Š»Š¾, ŠæŠ¾ŃŃŠ¾Š¼Ń Š¶ŠµŃŃŠ²Š° Š½Šµ Š·Š°Š¼ŠµŃŠøŃ Š½ŠøŃŠµŠ³Š¾ Š½ŠµŠ¾Š±ŃŃŠ½Š¾Š³Š¾. Š¢ŠµŠ¼ Š½Šµ Š¼ŠµŠ½ŠµŠµ, ŠµŃŠ»Šø Š²Ń Š¾ŃŠŗŃŠ¾ŠµŃŠµ ŠŠøŃŠæŠµŃŃŠµŃ Š·Š°Š“Š°Ń Windows, Š²Ń ŃŠ²ŠøŠ“ŠøŃŠµ ŃŠ¾Š½Š¾Š²ŃŠ¹ ŠæŃŠ¾ŃŠµŃŃ PowerShell, ŠŗŠ¾ŃŠ¾ŃŃŠ¹ Š²ŃŠµ ŃŠ°Š²Š½Š¾ Ń Š±Š¾Š»ŃŃŠøŠ½ŃŃŠ²Š° Š½Šµ Š²ŃŠ·Š¾Š²ŠµŃ Š½ŠøŠŗŠ°ŠŗŠ¾Š¹ ŃŃŠµŠ²Š¾Š³Šø. ŠŠ¾ŃŠ¾Š¼Ń ŃŃŠ¾ ŃŃŠ¾ Š¾Š±ŃŃŠ½ŃŠ¹ PowerShell, Š½Šµ ŠæŃŠ°Š²Š“Š° Š»Šø?
Tagad, palaižot Evil.doc, slÄptais fona process izveidos savienojumu ar serveri, kurÄ darbojas PowerShell Empire. Uzvelkot savu balto pentester hakeru cepuri, es atgriezos PowerShell Empire konsolÄ un tagad redzu ziÅojumu, ka mans attÄlais aÄ£ents ir aktÄ«vs.
PÄc tam es ievadÄ«ju komandu "interact", lai atvÄrtu Äaulu PSE ā un tur es biju! ÄŖsÄk sakot, es uzlauzu Taco serveri, kuru reiz uzstÄdÄ«ju pats.
Tas, ko es tikko demonstrÄju, no jÅ«su puses neprasa tik daudz darba. To visu varat viegli izdarÄ«t pusdienu pÄrtraukumÄ vienu vai divas stundas, lai uzlabotu savas informÄcijas droŔības zinÄÅ”anas. Tas ir arÄ« lielisks veids, kÄ saprast, kÄ hakeri apiet jÅ«su ÄrÄjo droŔības perimetru un iekļūst jÅ«su sistÄmÄs.
IT vadÄ«tÄjiem, kuri domÄ, ka ir izveidojuÅ”i nepÄrvaramu aizsardzÄ«bu pret jebkÄdu ielauÅ”anos, tas, iespÄjams, arÄ« ŔķitÄ«s izglÄ«tojoÅ”s ā tas ir, ja jÅ«s varat pÄrliecinÄt viÅus sÄdÄt kopÄ ar jums pietiekami ilgi.
AtgriezÄ«simies realitÄtÄ
KÄ jau gaidÄ«ju, Ä«sts, vidusmÄra lietotÄjam neredzams uzlauzums ir vienkÄrÅ”i manis aprakstÄ«tÄ variÄcija. Lai savÄktu materiÄlu nÄkamajai publikÄcijai, es sÄku meklÄt paraugu par HA, kas darbojas tÄpat kÄ mans izdomÄtais piemÄrs. Un man tas nebija ilgi jÄmeklÄ - vietnÄ ir daudz iespÄju lÄ«dzÄ«gai uzbrukuma tehnikai.
Ä»aunprÄtÄ«gÄ programmatÅ«ra, ko es beidzot atradu vietnÄ HA, bija VBA skripts, kas tika iegults Word dokumentÄ. Tas ir, man pat nav jÄvilto doc paplaÅ”inÄjums, Ŕī ļaunprogrammatÅ«ra patieÅ”Äm ir parasta izskata Microsoft Word dokuments. Ja jÅ«s interesÄ, es izvÄlÄjos Å”o paraugu ar nosaukumu .
Es Ätri uzzinÄju, ka bieži vien nevar tieÅ”i izvilkt ļaunprÄtÄ«gus VBA skriptus no dokumenta. Hakeri tos saspiež un paslÄpj, lai tie nebÅ«tu redzami Word iebÅ«vÄtajos makro rÄ«kos. Lai to noÅemtu, jums bÅ«s nepiecieÅ”ams Ä«paÅ”s rÄ«ks. Par laimi es tiku pie skenera Frenks Boldvins. Paldies, Frenk.
Izmantojot Å”o rÄ«ku, es varÄju izvilkt ļoti neskaidru VBA kodu. Tas izskatÄ«jÄs apmÄram Å”Ädi:
ApmulsinÄÅ”anu veica savas jomas profesionÄļi. ES biju iespaidots!
UzbrucÄji patieÅ”Äm labi prot sajaukt kodu, nevis kÄ manas pÅ«les, veidojot Evil.doc. Labi, nÄkamajÄ daÄ¼Ä mÄs izÅemsim savus VBA atkļūdotÄjus, iedziļinÄsimies Å”ajÄ kodÄ un salÄ«dzinÄsim savu analÄ«zi ar HA rezultÄtiem.
Avots: www.habr.com
