Artikel ini adalah sebahagian daripada siri Perisian Hasad Tanpa Fail. Semua bahagian lain siri ini:
- Pengembaraan Perisian Hasad Sulit, Bahagian II: Skrip VBA Senyap (Kami Di Sini)
Saya peminat laman web ini (analisis hibrid, selepas ini HA). Ini adalah sejenis zoo malware, di mana anda boleh memerhati "pemangsa" liar secara senyap-senyap dari jarak yang selamat, tanpa diserang. HA menjalankan perisian hasad dalam persekitaran yang selamat, merekodkan panggilan sistem, fail yang dibuat dan trafik internet, dan memaparkan semua keputusan ini untuk setiap sampel yang dianalisis. Dengan cara ini, anda boleh mengelak daripada membuang masa dan usaha untuk mentafsir sendiri kod yang tidak jelas dan segera memahami niat penggodam.
Contoh HA yang menarik perhatian saya menggunakan sama ada skrip JavaScript atau Visual Basic for Applications (VBA) yang dikodkan yang dibenamkan sebagai makro dalam dokumen Word atau Excel dan dilampirkan pada e-mel pancingan data. Apabila dibuka, makro ini melancarkan sesi PowerShell pada komputer mangsa. Penggodam biasanya menghantar aliran arahan berkod Base64 ke PowerShell. Ini dilakukan untuk membuat serangan sukar dikesan oleh penapis web dan perisian antivirus yang mengesan kata kunci tertentu.
Nasib baik, HA menyahkod Base64 secara automatik dan memaparkan segala-galanya dalam format yang boleh dibaca. Pada asasnya, anda tidak perlu menumpukan pada cara skrip ini berfungsi, kerana anda boleh melihat output arahan penuh untuk proses yang dilancarkan dalam bahagian HA yang sepadan. Lihat contoh di bawah:
Analisis hibrid memintas perintah berkod Base64 yang dihantar ke PowerShell:
…dan kemudian menyahkodnya untuk anda. #ajaib
В Saya mencipta bekas JavaScript saya sendiri yang sedikit keliru untuk melancarkan sesi PowerShell. Kemudian, seperti kebanyakan perisian hasad berasaskan PowerShell, skrip saya memuat turun skrip PowerShell berikut daripada tapak web jauh. Pada masa itu, sebagai contoh, saya memuat turun skrip PowerShell yang tidak berbahaya yang mencetak mesej pada skrin. Tetapi masa telah berubah, dan sekarang saya mencadangkan untuk membuat skrip lebih kompleks.
PowerShell Empire dan Reverse Shell
Salah satu matlamat latihan ini adalah untuk menunjukkan bagaimana (secara relatif) dengan mudah penggodam boleh memintas pertahanan perimeter klasik dan antivirus. Jika blogger IT tanpa kemahiran pengaturcaraan, seperti saya, boleh melakukannya dalam beberapa malam, (tidak dapat dikesan sepenuhnya, FUD), bayangkan kemungkinan untuk penggodam muda yang berminat dengan ini!
Dan jika anda adalah orang yang bertanggungjawab untuk keselamatan IT, tetapi pengurus anda tidak memahami kemungkinan akibat daripada ancaman ini, tunjukkan sahaja artikel ini kepadanya.
Penggodam bermimpi untuk mendapatkan akses terus ke komputer riba atau pelayan mangsa. Ini sangat mudah dilakukan: apa yang diperlukan oleh penggodam adalah untuk mendapatkan beberapa fail sulit daripada komputer riba CEO.
Entah bagaimana saya sudah Mengenai masa jalan pasca eksploitasi Empayar PowerShell. Mari kita imbas semula apa itu.
Pada asasnya, ia adalah alat ujian penembusan berasaskan PowerShell yang, antara banyak ciri lain, membolehkan pelaksanaan shell terbalik dengan mudah. Anda boleh menerokainya dengan lebih terperinci di .
Mari kita jalankan sedikit eksperimen. Saya telah menyediakan persekitaran ujian perisian hasad yang selamat dalam awan Perkhidmatan Web Amazon. Anda boleh mengikuti contoh saya untuk menunjukkan contoh kerentanan ini dengan cepat dan selamat (dan mengelakkan diri daripada dipecat kerana melancarkan perisian hasad dalam perimeter perusahaan).
Jika anda melancarkan konsol PowerShell Empire, anda akan melihat sesuatu seperti ini:
Mula-mula, anda memulakan proses pendengar pada komputer penggodam anda. Masukkan arahan "pendengar" dan nyatakan alamat IP sistem anda menggunakan "set Host." Kemudian, mulakan proses pendengar dengan arahan "laksana" (di bawah). Ini akan memulakan pendengar di hujung anda, mendengar sambungan rangkaian dari cangkerang jauh:
Di sisi lain, anda perlu menjana kod ejen dengan memasukkan arahan "pelancar" (lihat di bawah). Ini akan menjana kod PowerShell untuk ejen jauh. Ambil perhatian bahawa ia dikodkan Base64 dan mewakili fasa kedua muatan. Dalam erti kata lain, kod JavaScript saya kini akan menarik ejen ini untuk melancarkan PowerShell dan bukannya hanya mengeluarkan teks tidak berbahaya ke skrin dan menyambung ke pelayan PSE jauh kami untuk melancarkan cangkerang terbalik.
Sihir cangkerang terbalik. Perintah PowerShell yang dikodkan ini akan menyambung kepada pendengar saya dan melancarkan cangkerang jauh.
Untuk menunjukkan eksperimen ini, saya mengambil peranan sebagai mangsa yang tidak bersalah dan membuka Evil.doc, lalu melaksanakan JavaScript kami. Ingat bahagian pertama? PowerShell dikonfigurasikan untuk tidak muncul, jadi mangsa tidak akan perasan apa-apa yang luar biasa. Walau bagaimanapun, jika anda membuka Pengurus Tugas Windows, anda akan melihat proses PowerShell latar belakang, yang mana kebanyakan orang tidak akan bimbang. Kerana ia hanyalah PowerShell biasa, bukan?
Sekarang, apabila anda menjalankan Evil.doc, proses latar belakang tersembunyi akan bersambung ke pelayan yang menjalankan PowerShell Empire. Dengan memakai topi pentest penggodam saya, saya kembali ke konsol PowerShell Empire dan kini melihat mesej bahawa ejen jauh saya aktif.
Kemudian saya menaip "berinteraksi" untuk membuka cangkerang dalam PSE—dan itulah saya! Singkat cerita, saya telah menggodam pelayan Taco yang saya sediakan sendiri.
Apa yang baru saya tunjukkan tidak memerlukan banyak kerja. Anda boleh melakukannya dengan mudah semasa rehat makan tengah hari selama satu atau dua jam untuk meningkatkan pengetahuan keselamatan maklumat anda. Ia juga merupakan cara terbaik untuk memahami cara penggodam memintas pertahanan perimeter keselamatan luaran dan secara sembunyi-sembunyi mewujudkan diri mereka pada sistem anda.
Pengurus IT yang berpendapat bahawa mereka telah membina pertahanan yang tidak dapat ditembusi terhadap sebarang pencerobohan mungkin akan mendapati ini mendidik juga—iaitu, jika anda boleh meyakinkan mereka untuk duduk bersama anda cukup lama.
Mari kita kembali kepada realiti
Seperti yang saya syaki, penggodaman sebenar yang tidak dapat dilihat oleh pengguna biasa hanyalah variasi daripada apa yang baru saya nyatakan. Untuk mengumpulkan bahan untuk penerbitan saya yang seterusnya, saya mula mencari contoh HA yang berfungsi sama seperti yang saya cipta. Dan saya tidak perlu melihat jauh-terdapat banyak variasi teknik serangan ini di tapak.
Malware yang akhirnya saya temui pada HA ialah skrip VBA yang dibenamkan dalam dokumen Word. Jadi, saya tidak perlu memalsukan sambungan .doc; perisian hasad itu sebenarnya adalah dokumen Microsoft Word yang kelihatan normal. Jika anda berminat, saya memilih sampel ini, dipanggil .
Saya dengan cepat mengetahui bahawa anda selalunya tidak boleh mengekstrak skrip VBA berniat jahat secara langsung daripada dokumen. Penggodam memampatkan dan menyembunyikannya, menjadikannya tidak kelihatan oleh alat makro terbina dalam Word. Anda memerlukan alat khusus untuk mengekstraknya. Nasib baik, saya terjumpa pengimbas. Frank Baldwin. Terima kasih, Frank.
Menggunakan alat ini, saya dapat mengekstrak beberapa kod VBA yang sangat kompleks. Ia kelihatan seperti ini:
Kekeliruan itu dilakukan oleh para profesional. Saya kagum!
Penyerang benar-benar mahir dalam mengaburkan kod, tidak seperti usaha saya dalam mencipta Evil.doc. Baiklah, dalam bahagian seterusnya kita akan mengeluarkan penyahpepijat VBA kami, menggali sedikit lebih mendalam ke dalam kod ini, dan membandingkan analisis kami dengan keputusan HA.
Sumber: www.habr.com
