Оваа статија е дел од серијата Malware без датотеки. Сите други делови од серијата:
- Авантурите за неостварлив малициозен софтвер Дел II: Скриени VBA скрипти (тука сме)
Јас сум обожавател на страницата (хибридна анализа, во понатамошниот текст HA). Ова е еден вид зоолошка градина со малициозен софтвер каде што можете безбедно да ги набљудувате дивите „предатори“ од безбедно растојание без да бидете нападнати. HA користи малициозен софтвер во безбедни средини, снима системски повици, генерирани датотеки и интернет сообраќај и ви ги носи сите овие резултати за секој примерок што го анализира. Така, не можете сами да го трошите вашето време и напор за да го решите заматениот код, туку веднаш да ги разберете сите намери на хакерите.
Примерите HA што ми го привлекоа вниманието користат или кодирани JavaScript или Visual Basic за апликации (VBA) скрипти вградени како макроа во документите на Word или Excel и прикачени на е-пошта за фишинг. Кога ќе се отворат, овие макроа започнуваат PowerShell сесија на компјутерот на жртвата. Хакерите вообичаено испраќаат проток на команди кодиран со Base64 до PowerShell. Сето ова е направено за да се направи нападот тешко да се открие со веб-филтри и антивирусен софтвер што реагира на одредени клучни зборови.
За среќа, HA автоматски го декодира Base64 и веднаш покажува сè во читлива форма. Во суштина, не треба да се фокусирате на тоа како функционираат овие скрипти, бидејќи ќе можете да го видите целосниот излез на командите за извршување процеси во соодветниот дел HA. Погледнете го примерот подолу:
Хибридното парсирање ги пресретнува шифрираните команди од Base64 испратени до PowerShell:
... и потоа ги дешифрира за вас. #магично
В Создадов мој малку заматен контејнер за JavaScript за да водам сесија на PowerShell. Мојата скрипта потоа, како и многу малициозен софтвер базиран на PowerShell, ја презема следната скрипта PowerShell од оддалечена веб-локација. Потоа, како пример, симнав безопасен ПС што испечати порака на екранот. Но, времињата се менуваат и сега предлагам да се искомплицира сценариото.
PowerShell Empire и Reverse Shell
Една од целите на оваа вежба е да покаже колку е (релативно) лесно хакерот да ги заобиколи класичните периметарски одбранбени и антивируси. Ако еден ИТ блогер без програмски вештини, како мене, може за неколку вечери (целосно неоткриено, FUD), замислете ги можностите на заинтересиран млад хакер!
И ако сте лице за ИТ безбедност, но вашиот менаџер не ги разбира потенцијалните импликации на овие закани, само покажете им го овој напис.
Хакерите сонуваат да добијат директен пристап до лаптопот или серверот на жртвата. Ова е многу лесно да се направи: сè што му треба на хакерот е да добие неколку доверливи датотеки на лаптопот на извршниот директор.
Некако јас веќе за пост-продукцијата PowerShell Empire траење. Да се потсетиме што е тоа.
Во суштина, тоа е алатка за тестирање на пенетрација базирана на PowerShell која, меѓу многу други карактеристики, го олеснува извршувањето на обратна школка. Можете да го истражите подетално на .
Ајде да направиме мал експеримент. Поставив безбедна средина за тестирање на малициозен софтвер во облакот за веб-услуги на Амазон. Можете да го следите мојот пример за брзо и безбедно да покажете работен пример за оваа ранливост (и да не бидете отпуштени поради активирање вируси во периметарот на претпријатието).
Ако ја користите конзолата PowerShell Empire, ќе видите нешто како ова:
Прво, го започнувате процесот на слушање на вашата хакерска машина. Внесете ја командата „слушател“ и наведете ја IP адресата на вашиот систем користејќи „постави домаќин“. Потоа започнете го процесот на слушателот со командата „изврши“ (подолу). Така, на ваша страна, ќе почнете да чекате мрежна врска од далечинска школка:
За другата страна, ќе треба да генерирате шифра на агент со внесување на командата „фрлач“ (види подолу). Ова ќе го генерира кодот PowerShell за далечинскиот агент. Забележете дека е кодиран со Base64 и ја претставува втората фаза од товарот. Со други зборови, мојот JavaScript код сега ќе го повлече овој агент да работи PowerShell наместо безопасно да прикажува текст на екранот и да се поврзе со нашиот далечински сервер PSE за да ја стартува обратната школка.
Магија на обратна школка. Оваа шифрирана команда PowerShell ќе се поврзе со мојот слушател и ќе започне далечинска школка.
За да ви го покажам овој експеримент, ја презедов улогата на невина жртва и го отворив Evil.doc, со што го активирав нашиот JavaScript. Се сеќавате на првиот дел? PowerShell е конфигуриран да не се појавува, така што жртвата нема да забележи ништо невообичаено. Меѓутоа, ако го отворите Управувачот со задачи на Windows, ќе видите процес на PowerShell во заднина, кој сепак нема да предизвика аларм за повеќето. Затоа што е обичен PowerShell, нели?
Сега, кога ќе го стартувате Evil.doc, процес на скриена позадина ќе се поврзе со серверот што работи на PowerShell Empire. Ставајќи ја белата шапка на хакер од пентестер, се вратив во конзолата PowerShell Empire и сега гледам порака дека мојот далечински агент е активен.
Потоа ја напишав командата „interact“ за да отворам школка во PSE - и еве ме! Накратко, го хакирав серверот Taco што сам го поставив пред некое време.
Она што штотуку го покажав не бара толку многу работа од вас. Сето ова лесно можете да го направите во пауза за ручек од еден до два часа за да го подобрите вашето знаење за безбедноста на информациите. Тоа е исто така одличен начин да се разбере како хакерите ја заобиколуваат одбраната на надворешниот безбедносен периметар и се прикрадуваат во вашите системи.
ИТ менаџерите кои мислат дека изградиле нераскинлива одбрана од секаков вид на упад веројатно ќе им биде и едукативно - добро, ако можете да ги убедите да седат до вас доволно долго, се разбира.
Назад во реалноста
Како што очекував, вистинскиот хак, невидлив за просечниот корисник, е само варијација на она што штотуку го опишав. За да соберам материјал за следната публикација, почнав да барам примерок за ХА, кој функционира на ист начин како мојот измислен пример. И не морав да го барам долго време - има многу опции за таква техника на напад на страницата.
Злонамерниот софтвер што го најдов на HA е VBA скрипта што беше вградена во документ Word. Односно, дури и не треба да ја лажирам наставката за документи, овој малициозен софтвер е навистина најобичниот документ на Microsoft Word. Во случај да се прашувате, ја избрав оваа шема наречена .
Брзо дознав дека често не можете да повлечете злонамерни VBA скрипти директно од документ. Хакерите ги компресираат и кријат, а тие не се видливи во вградените макро алатки на Word. Ќе ви треба специјална алатка за да ја извадите. За среќа наидов на скенер Френк Болдвин. Ти благодарам Френк.
Користејќи ја оваа алатка, успеав да извлечам многу заматен VBA код. Изгледаше нешто вака:
Замаглувањето беше направено од професионалци во нивната област. Јас бев импресиониран!
Напаѓачите се навистина добри во замаглување на кодот, а не како моите напори за создавање на Evil.doc. Добро, во следниот дел, ќе ги добиеме нашите VBA дебагери, ќе копаме малку подлабоко во овој код и ќе ја споредиме нашата анализа со резултатите од HA.
Извор: www.habr.com