Ko tenei tuhinga he waahanga o te raupapa Malware korekore. Ko etahi atu waahanga katoa o te raupapa:
- Nga Maere o te Malware Elusive, Wāhanga II: Nga Hōtuhi VBA Huna (kei konei matou)
He parekareka ahau ki te pae (te tātari ranu, ka whai ake nei HA). He momo whare kararehe kino tenei ka taea e koe te mataki i nga "konihi" mohoao mai i te tawhiti haumaru me te kore e whakaekehia. Kei te whakahaere a HA i te kino i roto i nga taiao haumaru, ka rekoata i nga waea punaha, i hangaia nga konae me te hokohoko Ipurangi, ka hoatu ki a koe enei hua katoa mo ia tauira ka tātarihia. I tenei ara, kaore koe e whai waahi ki te whakapau i to wa me to kaha ki te tarai i a koe ano i te waehere raruraru, engari ka taea e koe te mohio tonu ki nga hiahia katoa o nga kaiwhaiwhai.
Ko nga tauira HA i aro atu ki ahau ka whakamahi i nga tuhinga JavaScript, Visual Basic ranei mo nga Tono (VBA) kua whakauruhia hei tonotono i roto i nga tuhinga Word, Excel ranei, ka piri ki nga imeera hītinihanga. Ina whakatuwheratia, ka timata enei tonotono i tetahi wahanga PowerShell i runga i te rorohiko o te tangata kua paheke. Ko te nuinga o nga wa ka tukuna e nga kaiwhaiwhai he awa whakahau kua whakawaeheretia a Base64 ki PowerShell. Ka mahia tenei katoa kia uaua ai te whakaeke i nga whiriwhiringa paetukutuku me nga rorohiko wheori e whakautu ana ki etahi kupu matua.
Waimarie, ka wetewete aunoa a HA i te Base64 me te whakaatu i nga mea katoa i roto i te whakatakotoranga panui tonu. Ko te mea nui, kaore koe e aro ki te mahi o enei tuhinga na te mea ka taea e koe te kite i nga putanga whakahau katoa mo nga tukanga whakahaere i roto i te waahanga o HA. Tirohia te tauira i raro nei:
Ka haukoti te tātari ranu i nga tono whakawaehere a Base64 i tukuna ki PowerShell:
...katahi ka wetewetehia maau. #maamaa
В I hanga e ahau taku ake ipu JavaScript paku noa te rangirua hei whakahaere i tetahi huihuinga PowerShell. Ko taku tuhinga, penei i te maha o nga mahi kino a PowerShell, katahi ka tango i te tuhinga PowerShell e whai ake nei mai i te paetukutuku mamao. Na, hei tauira, ka utaina e ahau he PS kino kore i taia he panui ki te mata. Engari kei te huri haere nga waa, inaianei ka whakaaro ahau ki te whakararu i te ahuatanga.
PowerShell Empire me te Anga Whakamuri
Ko tetahi o nga whainga o tenei mahi ko te whakaatu me pehea (te ahua) ngawari e taea ai e te kaiwhaiwhai te karo i nga parepare paenga matarohia me nga wheori. Mena ka taea e tetahi blogger IT kaore he pukenga hotaka, penei i ahau, ka mahi i roto i nga ahiahi e rua (kaore i kitea, FUD), whakaarohia nga kaha o te kaiwhaiwhai rangatahi e hiahia ana ki tenei!
A, ki te mea he kaiwhakarato haumaru IT koe, engari kaore to kaiwhakahaere i te mohio ki nga hua ka puta mai i enei whakatuma, me whakaatu ki a ia tenei tuhinga.
Kei te moemoea nga kaiwhaiwhai kia uru tika atu ki te pona, ki te tūmau ranei o te patunga. He tino ngawari tenei ki te mahi: ko nga mea katoa e hiahiatia ana e te kaiwhaiwhai ko te tango i etahi konae huna i runga i te pona a te Tumuaki.
Tetahi mea kua ahau e pā ana ki te PowerShell Empire i muri i te whakaputanga. Kia maumahara tatou he aha tena.
Ko te tikanga he taputapu whakamatautau urunga a PowerShell, i roto i te maha atu o nga ahuatanga, ka taea e koe te whakahaere ngawari i te anga whakamuri. Ka taea e koe te ako i nga korero taipitopito i .
Me mahi he whakamatautau iti. I whakaturia e ahau he taiao whakamatautau kino kino i roto i te kapua Ratonga Tukutuku Amazon. Ka taea e koe te whai i taku tauira ki te whakaatu tere me te haumaru i tetahi tauira mahi o tenei whakaraeraetanga (kaore hoki e panaia mo te whakahaere huaketo i roto i te paenga hinonga).
Mena ka whakarewahia e koe te papatohu PowerShell Empire, ka kite koe i tetahi mea penei:
Tuatahi ka timata koe i te tukanga whakarongo i runga i to rorohiko hacker. Whakauruhia te whakahau "kaiwhakarongo", ka tohu i te wahitau IP o to punaha ma te whakamahi i te "tautuhi Kaihautū". Na ka timata te tukanga whakarongo me te "whakahaere" whakahau (i raro). No reira, i to taha, ka tiimata koe ki te tatari mo te hononga whatunga mai i te anga mamao:
Mo tera taha, me whakaputa e koe he waehere kaihoko ma te whakauru i te whakahau "whakarewa" (tirohia i raro). Ma tenei ka whakaputa waehere PowerShell mo te kaihoko mamao. Kia mahara kei te whakawaeheretia ki Base64, ka tohu i te waahanga tuarua o te utu. Arā, ka kumea e taku waehere JavaScript tenei kaihoko ki te whakahaere i te PowerShell hei utu mo te ta i te tuhinga ki te mata, ka hono atu ki ta maatau tūmau PSE mamao hei whakahaere i te anga whakamuri.
Ko te makutu o te anga whakamuri. Ka hono tenei whakahau PowerShell ki taku kaiwhakarongo ka whakarewahia he anga mamao.
Hei whakaatu ki a koe i tenei whakamatautau, ka mau ahau ki te mahi a te tangata harakore, ka whakatuwheratia a Evil.doc, na reira ka whakarewahia to tatou JavaScript. Kia mahara ki te waahanga tuatahi? Kua whirihorahia a PowerShell kia kore e puta ake tona matapihi, kia kore ai e kitea e te tangata i mate tetahi mea rereke. Heoi, ki te whakatuwhera koe i te Kaiwhakahaere Tūmahi Windows, ka kite koe i tetahi tukanga PowerShell papamuri e kore e puta he whakaoho ki te nuinga o nga tangata. Na te mea he PowerShell noa noa, ehara?
Inaianei kei te whakahaere koe i te Evil.doc, ka hono tetahi mahi papamuri huna ki te tūmau e whakahaere ana i te PowerShell Empire. Ka mau taku potae hacker pentester ma, ka hoki ahau ki te papatohu PowerShell Empire ka kite ahau i te panui kei te kaha taku kaihoko mamao.
Katahi ahau ka uru ki te whakahau "whakawhitiwhiti" ki te whakatuwhera i tetahi anga ki te PSE - a, i reira ahau! I roto i te poto, taumanutia ahau te tūmau Taco i whakaturia ake e ahau ahau kotahi.
Ko taku i whakaatu ake nei kaore e nui te mahi maau. Ka taea e koe te mahi i enei mea katoa i te wa o to okiokinga tina mo te kotahi, e rua haora ranei hei whakapai ake i to mohiotanga haumarutanga korero. He huarahi pai hoki ki te mohio me pehea te takahi a nga kaiwhai i to paenga haumarutanga o waho me te uru ki roto i o punaha.
Ko nga kaiwhakahaere IT e whakaaro ana kua hanga e ratou he whakamarumaru e kore e taea te uru atu ki nga pokanoa ka kitea ano he matauranga - ara, mena ka taea e koe te akiaki i a raatau kia noho roa ki a koe.
Kia hoki tatou ki te mooni
Ka rite ki taku i tumanako ai, he tino hack, e kore e kitea e te kaiwhakamahi toharite, he rereke noa iho o nga mea i whakaahuahia e au. Ki te kohikohi rauemi mo te whakaputanga e whai ake nei, i timata ahau ki te rapu tauira i runga i te HA e mahi ana i te ahua o taku tauira hanga. A kaore au i rapu mo te wa roa - he maha nga whiringa mo tetahi tikanga whakaeke i runga i te papanga.
Ko te kino i kitea e ahau i runga i te HA he tuhinga VBA i whakauruhia ki roto i te tuhinga Word. Arā, kaore au e hiahia ki te rūpahu i te toronga doc, he tino tuhinga Microsoft Word tenei kino. Mena kei te pirangi koe, i whiriwhiria e au tenei tauira e kiia nei .
I mohio wawe ahau kaore e taea e koe te tango tika i nga tuhinga VBA kino mai i tetahi tuhinga. Ka kopirihia, ka hunahia e nga kaiwhaiwhai kia kore ai e kitea i roto i nga taputapu tonotono a Word. Ka hiahia koe ki tetahi taputapu motuhake hei tango. Waimarie i kite ahau i tetahi matawai Frank Baldwin. Tēnā koe, Frank.
Ma te whakamahi i tenei taputapu, i taea e au te unu i te waehere VBA tino maamaa. He penei te ahua:
I mahia e nga tohunga ngaio i roto i a raatau mahi te whakamaarama. I miharo ahau!
He tino pai nga kaiwhaiwhai ki te whakakore i te waehere, kaore i rite ki aku mahi ki te hanga Evil.doc. Kaati, hei te waahanga e whai ake nei ka tangohia e matou a matou VBA patuiro, ruku hohonu ki roto i tenei waehere ka whakataurite i a maatau tātaritanga ki nga hua HA.
Source: will.com