Šis raksts ir daļa no Fileless ļaunprātīgas programmatūras sērijas. Visas pārējās sērijas daļas:
- Netveramās ļaunprogrammatūras piedzīvojumi, II daļa: slēptie VBA skripti (esam šeit)
Esmu vietnes cienītājs (hibrīda analīze, turpmāk HA). Šis ir sava veida ļaunprātīgas programmatūras zooloģiskais dārzs, kurā varat droši novērot savvaļas “plēsējus” no droša attāluma bez uzbrukumiem. HA izmanto ļaunprātīgu programmatūru drošā vidē, reģistrē sistēmas zvanus, izveidotos failus un interneta trafiku un sniedz visus šos rezultātus par katru analizēto paraugu. Tādā veidā jums nav jātērē laiks un enerģija, mēģinot pašam izdomāt mulsinošo kodu, bet jūs varat uzreiz saprast visus hakeru nodomus.
HA piemēri, kas pievērsa manu uzmanību, izmanto vai nu kodētus JavaScript vai Visual Basic for Applications (VBA) skriptus, kas iegulti kā makro Word vai Excel dokumentos un pievienoti pikšķerēšanas e-pastiem. Atverot šos makro, tie upura datorā sāk PowerShell sesiju. Hakeri parasti nosūta Base64 kodētu komandu straumi uz PowerShell. Tas viss tiek darīts, lai tīmekļa filtriem un pretvīrusu programmatūrai, kas reaģē uz noteiktiem atslēgvārdiem, būtu grūti atklāt uzbrukumu.
Par laimi, HA automātiski atkodē Base64 un visu uzreiz parāda lasāmā formātā. Būtībā jums nav jākoncentrējas uz to, kā šie skripti darbojas, jo jūs varēsit redzēt pilnu komandu izvadi palaistajiem procesiem attiecīgajā HA sadaļā. Skatīt piemēru zemāk:
Hibrīda analīze pārtver Base64 kodētas komandas, kas nosūtītas uz PowerShell:
...un pēc tam tos atšifrē jūsu vietā. #maģiski
В Es izveidoju savu nedaudz neskaidru JavaScript konteineru, lai palaistu PowerShell sesiju. Mans skripts, tāpat kā daudzas uz PowerShell balstītas ļaunprātīgas programmatūras, pēc tam lejupielādē tālāk norādīto PowerShell skriptu no attālas vietnes. Tad, piemēram, es ielādēju nekaitīgu PS, kas uz ekrāna izdrukāja ziņojumu. Bet laiki mainās, un tagad es ierosinu sarežģīt scenāriju.
PowerShell Empire un Reverse Shell
Viens no šī uzdevuma mērķiem ir parādīt, cik (salīdzinoši) viegli hakeris var apiet klasiskās perimetra aizsardzības un antivīrusus. Ja IT blogeris bez programmēšanas prasmēm, kā es, to var izdarīt pāris vakaros (pilnīgi neatklāts, FUD), iedomājieties jauna hakera iespējas, kuru tas interesē!
Un, ja esat IT drošības nodrošinātājs, bet jūsu vadītājs nav informēts par šo draudu iespējamām sekām, vienkārši parādiet viņam šo rakstu.
Hakeri sapņo iegūt tiešu piekļuvi upura klēpjdatoram vai serverim. Tas ir ļoti vienkārši izdarāms: viss, kas hakeram jādara, ir jāiegūst daži konfidenciāli faili izpilddirektora klēpjdatorā.
Kaut kā jau es par PowerShell Empire pēcapstrādes izpildlaiku. Atcerēsimies, kas tas ir.
Tas būtībā ir uz PowerShell balstīts iespiešanās pārbaudes rīks, kas līdzās daudzām citām funkcijām ļauj viegli palaist reverso apvalku. Jūs varat to izpētīt sīkāk vietnē .
Veiksim nelielu eksperimentu. Es iestatīju drošu ļaunprātīgas programmatūras testēšanas vidi Amazon Web Services mākonī. Varat sekot manam piemēram, lai ātri un droši parādītu šīs ievainojamības piemēru (un netiktu atlaists par vīrusu palaišanu uzņēmuma perimetrā).
Ja palaižat PowerShell Empire konsoli, jūs redzēsit kaut ko līdzīgu:
Vispirms sāciet klausītāja procesu savā hakeru datorā. Ievadiet komandu "klausītājs" un norādiet savas sistēmas IP adresi, izmantojot "set Host". Pēc tam sāciet klausītāja procesu ar komandu "execute" (zemāk). Tādējādi no jūsu puses jūs sāksit gaidīt tīkla savienojumu no attālās čaulas:
Otrai pusei jums būs jāģenerē aģenta kods, ievadot komandu "palaidējs" (skatiet tālāk). Tādējādi attālajam aģentam tiks ģenerēts PowerShell kods. Ņemiet vērā, ka tas ir kodēts Base64 un apzīmē lietderīgās slodzes otro fāzi. Citiem vārdiem sakot, mans JavaScript kods tagad piesaistīs šim aģentam, lai palaistu PowerShell, nevis nekaitīgi drukātu tekstu uz ekrāna, un izveidos savienojumu ar mūsu attālo PSE serveri, lai palaistu apgriezto apvalku.
Apgrieztā apvalka burvība. Šī kodētā PowerShell komanda izveidos savienojumu ar manu klausītāju un palaidīs attālo apvalku.
Lai parādītu jums šo eksperimentu, es uzņēmos nevainīgā upura lomu un atvēru Evil.doc, tādējādi palaižot mūsu JavaScript. Atcerieties pirmo daļu? PowerShell ir konfigurēts tā, lai novērstu tā loga uzniršanu, tāpēc upuris nepamanīs neko neparastu. Tomēr, ja atverat Windows uzdevumu pārvaldnieku, jūs redzēsit fona PowerShell procesu, kas lielākajai daļai cilvēku vienalga neradīs trauksmi. Jo tas ir tikai parasts PowerShell, vai ne?
Tagad, palaižot Evil.doc, slēptais fona process izveidos savienojumu ar serveri, kurā darbojas PowerShell Empire. Uzvelkot savu balto pentester hakeru cepuri, es atgriezos PowerShell Empire konsolē un tagad redzu ziņojumu, ka mans attālais aģents ir aktīvs.
Pēc tam es ievadīju komandu "interact", lai atvērtu čaulu PSE — un tur es biju! Īsāk sakot, es uzlauzu Taco serveri, kuru reiz uzstādīju pats.
Tas, ko es tikko demonstrēju, no jūsu puses neprasa tik daudz darba. To visu varat viegli izdarīt pusdienu pārtraukumā vienu vai divas stundas, lai uzlabotu savas informācijas drošības zināšanas. Tas ir arī lielisks veids, kā saprast, kā hakeri apiet jūsu ārējo drošības perimetru un iekļūst jūsu sistēmās.
IT vadītājiem, kuri domā, ka ir izveidojuši nepārvaramu aizsardzību pret jebkādu ielaušanos, tas, iespējams, arī šķitīs izglītojošs — tas ir, ja jūs varat pārliecināt viņus sēdēt kopā ar jums pietiekami ilgi.
Atgriezīsimies realitātē
Kā jau gaidīju, īsts, vidusmēra lietotājam neredzams uzlauzums ir vienkārši manis aprakstītā variācija. Lai savāktu materiālu nākamajai publikācijai, es sāku meklēt paraugu par HA, kas darbojas tāpat kā mans izdomātais piemērs. Un man tas nebija ilgi jāmeklē - vietnē ir daudz iespēju līdzīgai uzbrukuma tehnikai.
Ļaunprātīgā programmatūra, ko es beidzot atradu vietnē HA, bija VBA skripts, kas tika iegults Word dokumentā. Tas ir, man pat nav jāvilto doc paplašinājums, šī ļaunprogrammatūra patiešām ir parasta izskata Microsoft Word dokuments. Ja jūs interesē, es izvēlējos šo paraugu ar nosaukumu .
Es ātri uzzināju, ka bieži vien nevar tieši izvilkt ļaunprātīgus VBA skriptus no dokumenta. Hakeri tos saspiež un paslēpj, lai tie nebūtu redzami Word iebūvētajos makro rīkos. Lai to noņemtu, jums būs nepieciešams īpašs rīks. Par laimi es tiku pie skenera Frenks Boldvins. Paldies, Frenk.
Izmantojot šo rīku, es varēju izvilkt ļoti neskaidru VBA kodu. Tas izskatījās apmēram šādi:
Apmulsināšanu veica savas jomas profesionāļi. ES biju iespaidots!
Uzbrucēji patiešām labi prot sajaukt kodu, nevis kā manas pūles, veidojot Evil.doc. Labi, nākamajā daļā mēs izņemsim savus VBA atkļūdotājus, iedziļināsimies šajā kodā un salīdzināsim savu analīzi ar HA rezultātiem.
Avots: www.habr.com