Энэ нийтлэл нь Fileless Malware цувралын нэг хэсэг юм. Цувралын бусад бүх хэсгүүд:
- Боломжгүй хортой програмын адал явдал II хэсэг: Далд VBA скриптүүд (бид энд байна)
Би сайтын шүтэн бишрэгч (эрлийз шинжилгээ, цаашид ХА). Энэ бол ямар ч халдлагад өртөхгүйгээр зэрлэг "махчин" амьтдыг аюулгүй зайнаас ажиглах нэг төрлийн хортой программ хангамжийн амьтны хүрээлэн юм. HA нь аюулгүй орчинд хортой програм ажиллуулж, системийн дуудлага, үүсгэсэн файл, интернетийн урсгалыг бүртгэж, дүн шинжилгээ хийсэн дээж болгондоо эдгээр бүх үр дүнг авчирдаг. Тиймээс та нууцлагдсан кодыг өөрөө шийдэхийн тулд цаг хугацаа, хүчин чармайлтаа дэмий үрж чадахгүй, харин хакеруудын бүх санааг шууд ойлгоорой.
Миний анхаарлыг татсан HA жишээнүүд нь Word эсвэл Excel баримт бичигт макро хэлбэрээр суулгасан, фишинг имэйлд хавсаргасан JavaScript эсвэл Visual Basic for Applications (VBA) скриптүүдийг ашигладаг. Нээх үед эдгээр макронууд хохирогчийн компьютер дээр PowerShell сессийг эхлүүлнэ. Хакерууд ихэвчлэн PowerShell руу Base64 кодлогдсон тушаалын урсгалыг илгээдэг. Энэ бүхэн нь тодорхой түлхүүр үгэнд хариу үйлдэл үзүүлэх вэб шүүлтүүр болон вирусны эсрэг программ хангамжаар халдлагыг илрүүлэхэд хэцүү болгохын тулд хийгддэг.
Аз болоход, HA нь Base64-ийг автоматаар тайлж, бүх зүйлийг унших боломжтой хэлбэрээр шууд харуулдаг. Үндсэндээ та эдгээр скриптүүд хэрхэн ажилладаг талаар анхаарлаа төвлөрүүлэх шаардлагагүй, учир нь та холбогдох HA хэсгээс процессуудыг ажиллуулах командуудын бүрэн гаралтыг харах боломжтой болно. Доорх жишээг үзнэ үү:
Гибрид задлан шинжлэх нь PowerShell руу илгээсэн Base64 кодлогдсон командуудыг таслан зогсооно:
... тэгээд танд зориулж кодыг нь тайлж өгнө. #ид шидээр
В Би PowerShell сессийг ажиллуулахын тулд өөрийн бага зэрэг ойлгомжгүй JavaScript контейнер үүсгэсэн. Миний скрипт нь PowerShell-д суурилсан олон хортой програмын нэгэн адил алсын вэбсайтаас дараах PowerShell скриптийг татаж авдаг. Дараа нь жишээ болгон би дэлгэцэн дээр мессеж хэвлэсэн хор хөнөөлгүй PS татаж авсан. Гэхдээ цаг хугацаа өөрчлөгдөж байгаа тул одоо би хувилбарыг төвөгтэй болгохыг санал болгож байна.
PowerShell эзэнт гүрэн ба урвуу бүрхүүл
Энэхүү дасгалын нэг зорилго нь хакер сонгодог периметрийн хамгаалалт болон антивирусыг тойрч гарах (харьцангуй) амархан болохыг харуулах явдал юм. Над шиг програмчлалын ур чадваргүй мэдээллийн технологийн блогчин бол хоёр оройн цагаар ч болно (бүрэн илрээгүй, FUD), сонирхолтой залуу хакерын боломжуудыг төсөөлөөд үз дээ!
Хэрэв та мэдээллийн технологийн аюулгүй байдлын мэргэжилтэн боловч таны менежер эдгээр аюул заналхийллийн үр дагаврыг ойлгохгүй байгаа бол тэдэнд энэ нийтлэлийг үзүүлээрэй.
Хакерууд хохирогчийн зөөврийн компьютер эсвэл серверт шууд нэвтрэхийг мөрөөддөг. Үүнийг хийхэд маш хялбар: хакерт хэрэгтэй зүйл бол гүйцэтгэх захирлын зөөврийн компьютер дээрх цөөн хэдэн нууц файлыг олж авах явдал юм.
Ямар нэгэн байдлаар би аль хэдийн үйлдвэрлэлийн дараах PowerShell Empire ажиллах хугацааны тухай. Энэ нь юу болохыг санацгаая.
Энэ нь үндсэндээ PowerShell-д суурилсан нэвтрэлтийн туршилтын хэрэгсэл бөгөөд бусад олон функцүүдийн дунд урвуу бүрхүүлийг ажиллуулахад хялбар болгодог. Та үүнийг илүү дэлгэрэнгүй үзэх боломжтой .
Жаахан туршилт хийцгээе. Би Amazon Web Services үүлэн дээр хортой програмыг шалгах аюулгүй орчинг бий болгосон. Та миний жишээг дагаж энэхүү эмзэг байдлын бодит жишээг хурдан бөгөөд аюулгүйгээр харуулах боломжтой (мөн байгууллагын периметр дотор вирус ажиллуулж байгаа тул халагдахгүй).
Хэрэв та PowerShell Empire консолыг ажиллуулбал дараах зүйлийг харах болно.
Эхлээд та хакер машин дээрээ сонсогч процессыг эхлүүлнэ. "Сонсогч" командыг оруулаад "Set Host" ашиглан системийн IP хаягийг зааж өгнө үү. Дараа нь "гүйцэтгэх" командыг ашиглан сонсогч процессыг эхлүүлнэ үү (доор). Тиймээс, та алсын бүрхүүлээс сүлжээний холболтыг хүлээж эхэлнэ.
Нөгөө талаас та "эхлүүлэгч" командыг оруулан агентын кодыг үүсгэх хэрэгтэй болно (доороос үзнэ үү). Энэ нь алсын агентын PowerShell кодыг үүсгэх болно. Энэ нь Base64 кодлогдсон бөгөөд ачааллын хоёр дахь үе шатыг төлөөлдөг гэдгийг анхаарна уу. Өөрөөр хэлбэл, миний JavaScript код одоо дэлгэцэн дээр текстийг гэмгүй харуулахын оронд PowerShell-ийг ажиллуулахын тулд энэ агентийг татаж, урвуу бүрхүүлийг ажиллуулахын тулд манай алсын PSE сервертэй холбогдоно.
Урвуу бүрхүүлийн ид шид. Энэхүү кодлогдсон PowerShell команд нь миний сонсогчтой холбогдож, алсын бүрхүүлийг эхлүүлэх болно.
Энэ туршилтыг танд үзүүлэхийн тулд би гэм зэмгүй хохирогчийн дүрд орж, Evil.doc-г нээснээр манай JavaScript-г ажиллууллаа. Эхний хэсгийг санаж байна уу? PowerShell нь гарч ирэхгүй байхаар тохируулагдсан тул хохирогч ер бусын зүйлийг анзаарахгүй. Гэсэн хэдий ч, хэрэв та Windows Task Manager-ийг нээвэл та PowerShell-ийн арын процессыг харах бөгөөд энэ нь ихэнх хүмүүст ямар ч түгшүүр төрүүлэхгүй хэвээр байх болно. Учир нь энэ нь ердийн PowerShell, тийм үү?
Одоо, таныг Evil.doc-г ажиллуулахад далд дэвсгэр процесс PowerShell Empire ажиллаж байгаа серверт холбогдох болно. Пентестер хакерын цагаан малгай өмсөөд би PowerShell Empire консол руу буцаж ирсэн бөгөөд одоо миний алсын агент идэвхтэй байна гэсэн мессежийг харж байна.
Дараа нь би PSE дээр бүрхүүл нээхийн тулд "харилцах" командыг бичсэн - тэгээд би энд байна! Товчхондоо, би хэсэг хугацааны өмнө өөрөө тохируулсан Taco серверийг хакердсан.
Миний сая үзүүлсэн зүйл чамаас тийм их хөдөлмөр шаарддаггүй. Мэдээллийн аюулгүй байдлын талаарх мэдлэгээ дээшлүүлэхийн тулд та үдийн цайны завсарлагаанаар нэгээс хоёр цагийн турш энэ бүгдийг хялбархан хийж чадна. Энэ нь хакерууд хэрхэн гадны хамгаалалтын периметрийн хамгаалалтыг давж, таны систем рүү нууцаар нэвтэрч байгааг ойлгох гайхалтай арга юм.
Ямар ч төрлийн халдлагаас хамгаалах эвдэшгүй хамгаалалтыг бий болгосон гэж боддог мэдээллийн технологийн менежерүүдэд энэ нь бас боловсролын ач холбогдолтой байх болно - хэрэв та тэднийг таны хажууд хангалттай удаан суухыг итгүүлж чадвал мэдээжийн хэрэг.
Бодит байдал руу буцах
Миний таамаглаж байсанчлан жирийн хэрэглэгчдэд үл үзэгдэх жинхэнэ хакердсан зүйл бол миний саяхан тайлбарласан зүйлийн нэг хувилбар юм. Дараагийн хэвлэлд зориулж материал цуглуулахын тулд би HA-ийн дээжийг хайж эхэлсэн бөгөөд энэ нь миний зохион бүтээсэн жишээтэй адилхан ажилладаг. Би үүнийг удаан хугацаанд хайх шаардлагагүй байсан - сайт дээр ийм довтолгооны техник хийх олон сонголт байдаг.
HA дээр миний олж мэдсэн хортой програм бол Word баримт бичигт суулгасан VBA скрипт юм. Өөрөөр хэлбэл, би баримт бичгийн өргөтгөлийг хуурамчаар үйлдэх шаардлагагүй, энэ хортой програм нь үнэхээр хамгийн энгийн харагддаг Microsoft Word баримт бичиг юм. Хэрэв та гайхаж байгаа бол би энэ загварыг сонгосон .
Та ихэнхдээ хортой VBA скриптийг баримтаас шууд татаж чаддаггүйг би хурдан мэдсэн. Хакерууд тэдгээрийг шахаж, далдалдаг бөгөөд Word програмд суулгасан макро хэрэгслүүдэд харагдахгүй. Үүнийг задлахын тулд танд тусгай хэрэгсэл хэрэгтэй болно. Азаар би сканнертай таарлаа Фрэнк Болдуин. Баярлалаа Фрэнк.
Энэ хэрэгслийг ашигласнаар би маш ойлгомжгүй VBA кодыг гаргаж чадсан. Энэ нь иймэрхүү харагдаж байсан:
Муухайрах ажлыг мэргэжлийн хүмүүс хийсэн. Би сэтгэгдэл төрүүлсэн!
Халдагчид миний Evil.doc-г бүтээх оролдлого шиг биш харин кодыг бүдгэрүүлэхдээ үнэхээр сайн. За, дараагийн хэсэгт бид VBA дибаглагчаа авч, энэ кодыг бага зэрэг гүнзгийрүүлэн судалж, дүн шинжилгээгээ HA үр дүнтэй харьцуулах болно.
Эх сурвалж: www.habr.com