Ity lahatsoratra ity dia ampahany amin'ny andiany Malware tsy misy rakitra. Ny ampahany hafa rehetra amin'ny andiany:
- Adventures of the Elusive Malware, Fizarana II: Script VBA miafina (eto izahay)
Mpankafy ny tranokala aho (fanadihadiana hybride, aorian'izany HA). Ity dia karazana zoo malware izay ahafahanao mijery "mpiremby" bibidia avy lavitra tsy misy fanafihana. Ny HA dia mitantana malware amin'ny tontolo azo antoka, mirakitra ny antson'ny rafitra, mamorona rakitra ary fifamoivoizana amin'ny Internet, ary manome anao ireo valiny rehetra ireo ho an'ny santionany tsirairay anadihany. Amin'izany fomba izany, tsy mila mandany ny fotoananao sy ny herinao ianao amin'ny fiezahana hamantatra ny kaody mampisafotofoto anao, fa afaka mahazo avy hatrany ny fikasan'ireo hackers rehetra.
Ny ohatra HA izay nisarika ny saiko dia mampiasa script JavaScript na Visual Basic for Applications (VBA) voarakitra ho macro ao amin'ny antontan-taratasy Word na Excel ary miraikitra amin'ny mailaka phishing. Rehefa misokatra, ireo macro ireo dia manomboka fivoriana PowerShell amin'ny solosain'ilay niharam-boina. Matetika ny mpijirika dia mandefa baiko misy kaody Base64 amin'ny PowerShell. Izany rehetra izany dia natao mba hanasarotra ny fanafihana amin'ny alΓ lan'ny sivana tranonkala sy rindrambaiko antivirus mamaly ny teny fanalahidy sasany.
Soa ihany fa ny HA dia mamadika ho azy ny Base64 ary mampiseho ny zava-drehetra amin'ny endrika azo vakiana avy hatrany. Amin'ny ankapobeny, tsy voatery hifantoka amin'ny fomba fiasan'ireo script ireo ianao satria ho hitanao ny famoahana baiko feno ho an'ny fizotran'ny fandehanana ao amin'ny fizarana mifanaraka amin'ny HA. Jereo ny ohatra eto ambany:
Ny famakafakana hybride dia manakana ny baiko misy kaody Base64 alefa any amin'ny PowerShell:
...ary avy eo mamadika azy ireo ho anao. #majika
Π Namorona ny fitoeran-jiro JavaScript somary misavoritaka aho mba hampandehanana fivoriana PowerShell. Ny script-ko, toy ny malware maro mifototra amin'ny PowerShell, dia misintona ity script PowerShell manaraka ity amin'ny tranokala lavitra. Avy eo, ohatra, nampiditra PS tsy mampidi-doza aho izay nanonta hafatra teo amin'ny efijery. Saingy miova ny fotoana, ary ankehitriny aho dia manolotra ny hanasarotra ny toe-javatra.
PowerShell Empire sy Reverse Shell
Ny iray amin'ireo tanjona amin'ity fanazaran-tena ity dia ny hanehoana ny fomba (mora kokoa) ahafahan'ny mpijirika mandingana ny fiarovan-tena mahazatra sy ny antivirus. Raha mpitoraka bilaogy IT tsy manana fahaiza-manao fandaharana, toa ahy, dia afaka manao izany ao anatin'ny takariva roa (tsy hita tanteraka, FUD), alaivo sary an-tsaina ny fahaizan'ny mpijirika tanora liana amin'izany!
Ary raha mpanome fiarovana IT ianao, nefa tsy fantatry ny mpitantana anao ny mety ho vokatr'ireo fandrahonana ireo, dia asehoy azy fotsiny ity lahatsoratra ity.
Manonofy hahazo fidirana mivantana amin'ny solosaina findainy na lohamilina an'ilay niharam-boina ny hackers. Tena mora ny manao izany: ny hacker mila atao dia ny maka rakitra tsiambaratelo vitsivitsy ao amin'ny solosaina findainy an'ny CEO.
Na ahoana na ahoana dia efa momba ny fotoam-pamokarana PowerShell Empire taorian'ny famokarana. Aoka ho tsaroantsika hoe inona izany.
Izy io dia fitaovana fitiliana fidirana miorina amin'ny PowerShell izay, miaraka amin'ireo endri-javatra maro hafa, ahafahanao mampandeha mora ny akorandriaka mivadika. Azonao atao ny mianatra azy io amin'ny antsipiriany kokoa ao amin'ny .
Andeha isika hanao fanandramana kely. Nanangana tontolo fitiliana malware azo antoka ao amin'ny rahona Amazon Web Services aho. Azonao atao ny manaraka ny ohatra nasehoko mba hampisehoana haingana sy azo antoka ny ohatra iray miasa amin'ity vulnerable ity (ary tsy voaroaka noho ny fihanaky ny viriosy ao anatin'ny faritry ny orinasa).
Raha manomboka ny console PowerShell Empire ianao dia hahita zavatra toy izao:
Voalohany dia manomboka ny fizotran'ny mpihaino amin'ny solosainao mpijirika ianao. Ampidiro ny baiko "mihaino", ary mamaritra ny adiresy IP an'ny rafitrao amin'ny alΓ lan'ny "set Host". Avy eo dia atombohy ny fizotran'ny mpihaino amin'ny baiko "manatanteraka" (ambany). Noho izany, amin'ny anjaranao, dia hanomboka hiandry fifandraisana amin'ny tambajotra avy amin'ny shell lavitra ianao:
Ho an'ny ilany hafa dia mila mamorona kaody mpandraharaha ianao amin'ny alΓ lan'ny fampidirana ny baiko "mpamoaka" (jereo eto ambany). Izany dia hiteraka kaody PowerShell ho an'ny mpitsikilo lavitra. Mariho fa voakodia ao amin'ny Base64 izy io, ary maneho ny dingana faharoa amin'ny entana. Raha lazaina amin'ny teny hafa, ny kaody JavaScript-ko dia hisintona ity mpandraharaha ity mba hampandeha ny PowerShell fa tsy hanonta lahatsoratra tsy misy tsiny eo amin'ny efijery, ary hifandray amin'ny mpizara PSE lavitra anay mba hampandehanana akorandriaka mivadika.
Ny majika amin'ny akorandriaka mivadika. Ity baiko PowerShell kaody ity dia hifandray amin'ny mpihaino ahy ary hamoaka akorandriaka lavitra.
Mba hampisehoana aminao ity andrana ity dia nandray ny andraikitry ny niharam-boina tsy manan-tsiny aho ary nanokatra ny Evil.doc, tamin'izany no nanombohako ny JavaScript. Tadidinao ny ampahany voalohany? Namboarina ny PowerShell mba hisakanana ny varavarankeliny tsy hipoitra, ka tsy hahatsikaritra zavatra hafahafa ilay niharam-boina. Na izany aza, raha manokatra ny Windows Task Manager ianao dia hahita dingana PowerShell any aoriana izay tsy hiteraka fanairana ho an'ny ankamaroan'ny olona. Satria PowerShell mahazatra fotsiny izy io, sa tsy izany?
Amin'izao fotoana izao rehefa mihazakazaka Evil.doc ianao, dia misy dingana miafina miafina hifandray amin'ny mpizara mampiasa PowerShell Empire. Nametraka satroka fotsy pentester hacker aho, niverina tany amin'ny console PowerShell Empire ary nahita hafatra fa mavitrika ny masoko lavitra.
Avy eo dia niditra tao amin'ny baiko "interact" aho hanokafana akorandriaka ao amin'ny PSE - ary teo aho! Raha fintinina dia nijirika ny mpizara Taco izay natsangako indray mandeha aho.
Ny nasehoko fotsiny dia tsy mitaky asa be loatra avy aminao. Azonao atao mora foana izany rehetra izany mandritra ny fiatoana antoandro mandritra ny adiny iray na roa hanatsarana ny fahalalanao momba ny fiarovana ny vaovao. Fomba tsara ahafantarana ny fomba fidiran'ny hackers amin'ny faritry ny fiarovana ivelany anao ary miditra ao anatin'ny rafitrao.
Ireo mpitantana IT izay mihevitra fa nanangana fiarovana tsy azo ihodivirana amin'ny fidirana an-tsokosoko dia mety hahita fianarana ihany koa - izany hoe, raha azonao atao ny mandresy lahatra azy ireo hiara-mipetraka aminao ela be.
Andao hiverina amin'ny zava-misy
Araka ny efa nampoiziko, ny hack tena izy, tsy hitan'ny mpampiasa tsotra, dia fiovaovan'ny zavatra nolazaiko fotsiny. Mba hanangonana fitaovana ho an'ny famoahana manaraka dia nanomboka nitady santionany momba ny HA izay miasa mitovy amin'ny ohatra noforoniko aho. Ary tsy voatery nitady azy ela aho - misy safidy maro ho an'ny teknika fanafihana mitovy amin'izany ao amin'ny tranokala.
Ny malware hitako tamin'ny HA tamin'ny farany dia script VBA izay nampidirina tao anaty rakitra Word. Izany hoe, tsy mila misandoka ny fanitarana doc akory aho, ity malware ity dia tena antontan-taratasy Microsoft Word toa mahazatra. Raha liana ianao dia nisafidy ity santionany antsoina hoe ity aho .
Nahafantatra haingana aho fa matetika ianao dia tsy afaka misintona mivantana ny script VBA ratsy amin'ny rakitra iray. Ny hackers dia manindry sy manafina azy ireo mba tsy ho hita ao amin'ny fitaovana macro an'ny Word. Mila fitaovana manokana ianao hanesorana azy. Soa ihany fa nahita scanner aho Frank Baldwin. Misaotra anao, Frank.
Tamin'ny fampiasana an'io fitaovana io dia afaka nanala ny kaody VBA be dia be aho. Toa toy izao ilay izy:
Ireo matihanina amin'ny sehatra misy azy ireo no nanao ny fanakorontanana. Nampiaiky volana ahy!
Ny mpanafika dia tena mahay manafina kaody, fa tsy toy ny ezaka nataoko tamin'ny famoronana Evil.doc. Eny ary, amin'ny ampahany manaraka dia hanala ny VBA debuggers izahay, mitsoraka lalindalina kokoa amin'ity code ity ary mampitaha ny fanadihadianay amin'ny valin'ny HA.
Source: www.habr.com