Энэ нийтлэл нь Fileless Malware цувралын нэг хэсэг юм. Цувралын бусад бүх хэсгүүд:
-
Баршгүй Малваригийн адал явдал, I хэсэг - Боломжгүй хортой програмын адал явдал II хэсэг: Далд VBA скриптүүд (бид энд байна)
Би сайтын шүтэн бишрэгч
Миний анхаарлыг татсан HA жишээнүүд нь Word эсвэл Excel баримт бичигт макро хэлбэрээр суулгасан, фишинг имэйлд хавсаргасан JavaScript эсвэл Visual Basic for Applications (VBA) скриптүүдийг ашигладаг. Нээх үед эдгээр макронууд хохирогчийн компьютер дээр PowerShell сессийг эхлүүлнэ. Хакерууд ихэвчлэн PowerShell руу Base64 кодлогдсон тушаалын урсгалыг илгээдэг. Энэ бүхэн нь тодорхой түлхүүр үгэнд хариу үйлдэл үзүүлэх вэб шүүлтүүр болон вирусны эсрэг программ хангамжаар халдлагыг илрүүлэхэд хэцүү болгохын тулд хийгддэг.
Аз болоход, HA нь Base64-ийг автоматаар тайлж, бүх зүйлийг унших боломжтой хэлбэрээр шууд харуулдаг. Үндсэндээ та эдгээр скриптүүд хэрхэн ажилладаг талаар анхаарлаа төвлөрүүлэх шаардлагагүй, учир нь та холбогдох HA хэсгээс процессуудыг ажиллуулах командуудын бүрэн гаралтыг харах боломжтой болно. Доорх жишээг үзнэ үү:
Гибрид задлан шинжлэх нь PowerShell руу илгээсэн Base64 кодлогдсон командуудыг таслан зогсооно:
... тэгээд танд зориулж кодыг нь тайлж өгнө. #ид шидээр
В
PowerShell эзэнт гүрэн ба урвуу бүрхүүл
Энэхүү дасгалын нэг зорилго нь хакер сонгодог периметрийн хамгаалалт болон антивирусыг тойрч гарах (харьцангуй) амархан болохыг харуулах явдал юм. Над шиг програмчлалын ур чадваргүй мэдээллийн технологийн блогчин бол хоёр оройн цагаар ч болно
Хэрэв та мэдээллийн технологийн аюулгүй байдлын мэргэжилтэн боловч таны менежер эдгээр аюул заналхийллийн үр дагаврыг ойлгохгүй байгаа бол тэдэнд энэ нийтлэлийг үзүүлээрэй.
Хакерууд хохирогчийн зөөврийн компьютер эсвэл серверт шууд нэвтрэхийг мөрөөддөг. Үүнийг хийхэд маш хялбар: хакерт хэрэгтэй зүйл бол гүйцэтгэх захирлын зөөврийн компьютер дээрх цөөн хэдэн нууц файлыг олж авах явдал юм.
Ямар нэгэн байдлаар би аль хэдийн
Энэ нь үндсэндээ PowerShell-д суурилсан нэвтрэлтийн туршилтын хэрэгсэл бөгөөд бусад олон функцүүдийн дунд урвуу бүрхүүлийг ажиллуулахад хялбар болгодог. Та үүнийг илүү дэлгэрэнгүй үзэх боломжтой
Жаахан туршилт хийцгээе. Би Amazon Web Services үүлэн дээр хортой програмыг шалгах аюулгүй орчинг бий болгосон. Та миний жишээг дагаж энэхүү эмзэг байдлын бодит жишээг хурдан бөгөөд аюулгүйгээр харуулах боломжтой (мөн байгууллагын периметр дотор вирус ажиллуулж байгаа тул халагдахгүй).
Хэрэв та PowerShell Empire консолыг ажиллуулбал дараах зүйлийг харах болно.
Эхлээд та хакер машин дээрээ сонсогч процессыг эхлүүлнэ. "Сонсогч" командыг оруулаад "Set Host" ашиглан системийн IP хаягийг зааж өгнө үү. Дараа нь "гүйцэтгэх" командыг ашиглан сонсогч процессыг эхлүүлнэ үү (доор). Тиймээс, та алсын бүрхүүлээс сүлжээний холболтыг хүлээж эхэлнэ.
Нөгөө талаас та "эхлүүлэгч" командыг оруулан агентын кодыг үүсгэх хэрэгтэй болно (доороос үзнэ үү). Энэ нь алсын агентын PowerShell кодыг үүсгэх болно. Энэ нь Base64 кодлогдсон бөгөөд ачааллын хоёр дахь үе шатыг төлөөлдөг гэдгийг анхаарна уу. Өөрөөр хэлбэл, миний JavaScript код одоо дэлгэцэн дээр текстийг гэмгүй харуулахын оронд PowerShell-ийг ажиллуулахын тулд энэ агентийг татаж, урвуу бүрхүүлийг ажиллуулахын тулд манай алсын PSE сервертэй холбогдоно.
Урвуу бүрхүүлийн ид шид. Энэхүү кодлогдсон PowerShell команд нь миний сонсогчтой холбогдож, алсын бүрхүүлийг эхлүүлэх болно.
Энэ туршилтыг танд үзүүлэхийн тулд би гэм зэмгүй хохирогчийн дүрд орж, Evil.doc-г нээснээр манай JavaScript-г ажиллууллаа. Эхний хэсгийг санаж байна уу? PowerShell нь гарч ирэхгүй байхаар тохируулагдсан тул хохирогч ер бусын зүйлийг анзаарахгүй. Гэсэн хэдий ч, хэрэв та Windows Task Manager-ийг нээвэл та PowerShell-ийн арын процессыг харах бөгөөд энэ нь ихэнх хүмүүст ямар ч түгшүүр төрүүлэхгүй хэвээр байх болно. Учир нь энэ нь ердийн PowerShell, тийм үү?
Одоо, таныг Evil.doc-г ажиллуулахад далд дэвсгэр процесс PowerShell Empire ажиллаж байгаа серверт холбогдох болно. Пентестер хакерын цагаан малгай өмсөөд би PowerShell Empire консол руу буцаж ирсэн бөгөөд одоо миний алсын агент идэвхтэй байна гэсэн мессежийг харж байна.
Дараа нь би PSE дээр бүрхүүл нээхийн тулд "харилцах" командыг бичсэн - тэгээд би энд байна! Товчхондоо, би хэсэг хугацааны өмнө өөрөө тохируулсан Taco серверийг хакердсан.
Миний сая үзүүлсэн зүйл чамаас тийм их хөдөлмөр шаарддаггүй. Мэдээллийн аюулгүй байдлын талаарх мэдлэгээ дээшлүүлэхийн тулд та үдийн цайны завсарлагаанаар нэгээс хоёр цагийн турш энэ бүгдийг хялбархан хийж чадна. Энэ нь хакерууд хэрхэн гадны хамгаалалтын периметрийн хамгаалалтыг давж, таны систем рүү нууцаар нэвтэрч байгааг ойлгох гайхалтай арга юм.
Ямар ч төрлийн халдлагаас хамгаалах эвдэшгүй хамгаалалтыг бий болгосон гэж боддог мэдээллийн технологийн менежерүүдэд энэ нь бас боловсролын ач холбогдолтой байх болно - хэрэв та тэднийг таны хажууд хангалттай удаан суухыг итгүүлж чадвал мэдээжийн хэрэг.
Бодит байдал руу буцах
Миний таамаглаж байсанчлан жирийн хэрэглэгчдэд үл үзэгдэх жинхэнэ хакердсан зүйл бол миний саяхан тайлбарласан зүйлийн нэг хувилбар юм. Дараагийн хэвлэлд зориулж материал цуглуулахын тулд би HA-ийн дээжийг хайж эхэлсэн бөгөөд энэ нь миний зохион бүтээсэн жишээтэй адилхан ажилладаг. Би үүнийг удаан хугацаанд хайх шаардлагагүй байсан - сайт дээр ийм довтолгооны техник хийх олон сонголт байдаг.
HA дээр миний олж мэдсэн хортой програм бол Word баримт бичигт суулгасан VBA скрипт юм. Өөрөөр хэлбэл, би баримт бичгийн өргөтгөлийг хуурамчаар үйлдэх шаардлагагүй, энэ хортой програм нь үнэхээр хамгийн энгийн харагддаг Microsoft Word баримт бичиг юм. Хэрэв та гайхаж байгаа бол би энэ загварыг сонгосон
Та ихэнхдээ хортой VBA скриптийг баримтаас шууд татаж чаддаггүйг би хурдан мэдсэн. Хакерууд тэдгээрийг шахаж, далдалдаг бөгөөд Word програмд суулгасан макро хэрэгслүүдэд харагдахгүй. Үүнийг задлахын тулд танд тусгай хэрэгсэл хэрэгтэй болно. Азаар би сканнертай таарлаа
Энэ хэрэгслийг ашигласнаар би маш ойлгомжгүй VBA кодыг гаргаж чадсан. Энэ нь иймэрхүү харагдаж байсан:
Муухайрах ажлыг мэргэжлийн хүмүүс хийсэн. Би сэтгэгдэл төрүүлсэн!
Халдагчид миний Evil.doc-г бүтээх оролдлого шиг биш харин кодыг бүдгэрүүлэхдээ үнэхээр сайн. За, дараагийн хэсэгт бид VBA дибаглагчаа авч, энэ кодыг бага зэрэг гүнзгийрүүлэн судалж, дүн шинжилгээгээ HA үр дүнтэй харьцуулах болно.
Эх сурвалж: www.habr.com