මෙම ලිපිය Fileless Malware මාලාවේ කොටසකි. මාලාවේ අනෙකුත් සියලුම කොටස්:
-
The Adventures of the Elusive Malware, I කොටස - Adventures of the Elusive Malware, II කොටස: Hidden VBA Scripts (අපි මෙහි සිටිමු)
මම වෙබ් අඩවියේ රසිකයෙක්
මගේ අවධානයට ලක් වූ HA උදාහරණ කේතගත JavaScript හෝ Visual Basic for Applications (VBA) ස්ක්රිප්ට් වර්ඩ් හෝ එක්සෙල් ලේඛනවල මැක්රෝ ලෙස කාවැද්දූ සහ තතුබෑම් ඊමේල්වලට අමුණා ඇත. විවෘත කළ විට, මෙම මැක්රෝස් වින්දිතයාගේ පරිගණකයේ PowerShell සැසියක් ආරම්භ කරයි. හැකර්වරුන් සාමාන්යයෙන් PowerShell වෙත Base64 කේතනය කළ විධාන ප්රවාහයක් යවයි. මේ සියල්ල සිදු කරනුයේ ඇතැම් මූල පද වලට ප්රතිචාර දක්වන වෙබ් පෙරහන් සහ ප්රති-වයිරස මෘදුකාංග මගින් ප්රහාරය හඳුනා ගැනීම අපහසු කිරීමට ය.
වාසනාවකට මෙන්, HA ස්වයංක්රීයව Base64 විකේතනය කර සියල්ල කියවිය හැකි ආකෘතියකින් වහාම පෙන්වයි. අත්යවශ්යයෙන්ම, ඔබට මෙම ස්ක්රිප්ට් ක්රියා කරන ආකාරය ගැන අවධානය යොමු කිරීමට අවශ්ය නැත, මන්ද ඔබට HA හි අනුරූප කොටසෙහි ධාවන ක්රියාවලි සඳහා සම්පූර්ණ විධාන ප්රතිදානය දැකීමට හැකි වනු ඇත. පහත උදාහරණය බලන්න:
දෙමුහුන් විශ්ලේෂණය PowerShell වෙත යවන ලද Base64 කේතනය කළ විධානවලට බාධා කරයි:
...ඉන්පසු ඒවා ඔබ වෙනුවෙන් විකේතනය කරයි. #මැජික් ලෙස
В
PowerShell අධිරාජ්යය සහ Reverse Shell
මෙම අභ්යාසයේ එක් අරමුණක් වන්නේ හැකර්වරයෙකුට සම්භාව්ය පරිමිතිය ආරක්ෂාව සහ ප්රතිවෛරස මගහැර යා හැකි ආකාරය (සාපේක්ෂව) පෙන්වීමයි. මා වැනි ක්රමලේඛන කුසලතා නොමැති තොරතුරු තාක්ෂණ බ්ලොග්කරුවෙකුට එය සවස දෙකකින් කළ හැකිය
තවද ඔබ තොරතුරු තාක්ෂණ ආරක්ෂණ සපයන්නෙකු නම්, නමුත් ඔබේ කළමනාකරු මෙම තර්ජනවල ප්රතිවිපාක ගැන නොදන්නේ නම්, ඔහුට මෙම ලිපිය පෙන්වන්න.
වින්දිතයාගේ ලැප්ටොප් පරිගණකයට හෝ සේවාදායකයට සෘජු ප්රවේශයක් ලබා ගැනීමට හැකර්වරු සිහින දකිති. මෙය සිදු කිරීම ඉතා සරල ය: හැකර්වරයෙකුට අවශ්ය වන්නේ ප්රධාන විධායක නිලධාරියාගේ ලැප්ටොප් පරිගණකයේ රහස්ය ලිපිගොනු කිහිපයක් ලබා ගැනීමයි.
කෙසේ හෝ මම දැනටමත්
එය අවශ්යයෙන්ම PowerShell මත පදනම් වූ විනිවිද යාමේ පරීක්ෂණ මෙවලමක් වන අතර, වෙනත් බොහෝ විශේෂාංග අතර, ප්රතිලෝම කවචයක් පහසුවෙන් ධාවනය කිරීමට ඔබට ඉඩ සලසයි. ඔබට එය වඩාත් විස්තරාත්මකව අධ්යයනය කළ හැකිය
අපි පොඩි අත්හදා බැලීමක් කරමු. මම Amazon Web Services cloud හි ආරක්ෂිත අනිෂ්ට මෘදුකාංග පරීක්ෂණ පරිසරයක් පිහිටුවමි. මෙම අවදානම පිළිබඳ ක්රියාකාරී උදාහරණයක් ඉක්මනින් සහ ආරක්ෂිතව පෙන්වීමට ඔබට මගේ ආදර්ශය අනුගමනය කළ හැකිය (සහ ව්යවසාය පරිමිතිය තුළ වෛරස් ධාවනය කිරීම සඳහා වෙඩි නොතබන්න).
ඔබ PowerShell Empire කොන්සෝලය දියත් කළහොත්, ඔබට මෙවැනි දෙයක් පෙනෙනු ඇත:
මුලින්ම ඔබ ඔබේ හැකර් පරිගණකයේ සවන්දීමේ ක්රියාවලිය ආරම්භ කරන්න. "සවන් දෙන්නා" විධානය ඇතුල් කරන්න, "සෙට් හොස්ට්" භාවිතයෙන් ඔබේ පද්ධතියේ IP ලිපිනය සඳහන් කරන්න. ඉන්පසු "ක්රියාත්මක කරන්න" විධානය (පහත) සමඟ ශ්රාවක ක්රියාවලිය ආරම්භ කරන්න. මේ අනුව, ඔබගේ පැත්තෙන්, ඔබ දුරස්ථ කවචයෙන් ජාල සම්බන්ධතාවයක් සඳහා බලා සිටීමට පටන් ගනී:
අනෙක් පැත්ත සඳහා, ඔබට "launcher" විධානය ඇතුළත් කිරීමෙන් නියෝජිත කේතයක් ජනනය කිරීමට අවශ්ය වනු ඇත (පහත බලන්න). මෙය දුරස්ථ නියෝජිතයා සඳහා PowerShell කේතය ජනනය කරනු ඇත. එය Base64 හි කේතනය කර ඇති අතර, එය ගෙවීමේ දෙවන අදියර නියෝජනය කරන බව සලකන්න. වෙනත් වචන වලින් කිවහොත්, මගේ ජාවාස්ක්රිප්ට් කේතය දැන් මෙම නියෝජිතයා පවර්ෂෙල් ක්රියාත්මක කර තිරයට අකුරු මුද්රණය කරනවා වෙනුවට ප්රතිලෝම කවචයක් ධාවනය කිරීමට අපගේ දුරස්ථ PSE සේවාදායකයට සම්බන්ධ කරයි.
ප්රතිලෝම කවචයේ මායාව. මෙම සංකේතාත්මක PowerShell විධානය මගේ සවන්දෙන්නාට සම්බන්ධ වී දුරස්ථ කවචයක් දියත් කරනු ඇත.
මෙම අත්හදා බැලීම ඔබට පෙන්වීමට, මම අහිංසක වින්දිතයාගේ භූමිකාව භාරගෙන Evil.doc විවෘත කළෙමි, එමඟින් අපගේ JavaScript දියත් කළෙමි. පළමු කොටස මතකද? PowerShell එහි කවුළුව මතුවීම වැළැක්වීමට වින්යාස කර ඇත, එබැවින් වින්දිතයා අසාමාන්ය කිසිවක් නොදකිනු ඇත. කෙසේ වෙතත්, ඔබ Windows Task Manager විවෘත කළහොත්, කෙසේ හෝ බොහෝ පුද්ගලයන්ට අනතුරු ඇඟවීමක් සිදු නොකරන පසුබිම් PowerShell ක්රියාවලියක් ඔබට පෙනෙනු ඇත. මොකද ඒක සාමාන්ය PowerShell එකක් නේද?
දැන් ඔබ Evil.doc ධාවනය කරන විට, සැඟවුණු පසුබිම් ක්රියාවලියක් PowerShell Empire ධාවනය වන සේවාදායකයට සම්බන්ධ වේ. මගේ සුදු පෙන්ටෙස්ටර් හැකර් තොප්පිය පැළඳ, මම PowerShell Empire කොන්සෝලය වෙත ආපසු ගිය අතර දැන් මගේ දුරස්ථ නියෝජිතයා සක්රීය බවට පණිවිඩයක් දකිමි.
PSE හි කවචයක් විවෘත කිරීමට මම "interact" විධානය ඇතුළත් කළෙමි - සහ මම එහි සිටියෙමි! කොටින්ම මමම සෙට් කරපු Taco server එක එක පාරක් හැක් කරා.
මම දැන් පෙන්වූ දෙයට ඔබේ පැත්තෙන් එතරම් වැඩ අවශ්ය නොවේ. ඔබේ තොරතුරු ආරක්ෂාව පිළිබඳ දැනුම වැඩි දියුණු කර ගැනීම සඳහා පැය එකක් හෝ දෙකක් ඔබේ දිවා ආහාර විවේකයේදී ඔබට මේ සියල්ල පහසුවෙන් කළ හැකිය. හැකර්වරුන් ඔබගේ බාහිර ආරක්ෂක පරිමිතිය මගහැර ඔබගේ පද්ධති තුලට ඇතුළු වන්නේ කෙසේද යන්න තේරුම් ගැනීමටද එය කදිම ක්රමයකි.
ඕනෑම ආක්රමණයකට එරෙහිව නොබිඳිය හැකි ආරක්ෂාවක් ගොඩනඟා ඇතැයි සිතන තොරතුරු තාක්ෂණ කළමනාකරුවන් එය අධ්යාපනික වශයෙන් ද සොයා ගනු ඇත - එනම්, ඔබ සමඟ ප්රමාණවත් කාලයක් වාඩි වීමට ඔබට ඔවුන්ට ඒත්තු ගැන්විය හැකි නම්.
අපි නැවත යථාර්ථයට යමු
මා අපේක්ෂා කළ පරිදි, සාමාන්ය පරිශීලකයෙකුට නොපෙනෙන සැබෑ හැක් එකක් යනු මා විස්තර කළ දෙයෙහි වෙනසක් පමණි. මීළඟ ප්රකාශනය සඳහා ද්රව්ය එකතු කිරීම සඳහා, මම මගේ නිපැයුම් උදාහරණයට සමාන ආකාරයෙන් ක්රියා කරන HA මත නියැදියක් සෙවීමට පටන් ගතිමි. මට එය දිගු කලක් සෙවීමට සිදු නොවීය - වෙබ් අඩවියේ සමාන ප්රහාරක තාක්ෂණයක් සඳහා බොහෝ විකල්ප තිබේ.
මම අවසානයේ HA මත සොයාගත් අනිෂ්ට මෘදුකාංගය Word ලේඛනයක කාවැද්දූ VBA ස්ක්රිප්ට් එකකි. එනම්, මට ඩොක් දිගුව ව්යාජ කිරීමට අවශ්ය නැත, මෙම අනිෂ්ට මෘදුකාංගය ඇත්ත වශයෙන්ම සාමාන්ය පෙනුමක් ඇති Microsoft Word ලේඛනයකි. ඔබ කැමති නම්, මම මෙම නියැදිය තෝරා ගත්තෙමි
ඔබට බොහෝ විට ද්වේශසහගත VBA ස්ක්රිප්ට් ලේඛනයකින් පිටතට ඇද ගත නොහැකි බව මම ඉක්මනින්ම දැන ගතිමි. හැකර්වරුන් ඒවා සම්පීඩනය කර සඟවයි, එවිට ඒවා Word හි ඇති මැක්රෝ මෙවලම්වල නොපෙනේ. එය ඉවත් කිරීම සඳහා ඔබට විශේෂ මෙවලමක් අවශ්ය වනු ඇත. වාසනාවකට මට ස්කෑනර් යන්ත්රයක් හමු විය
මෙම මෙවලම භාවිතයෙන්, මට ඉතා අපැහැදිලි VBA කේතය ලබා ගැනීමට හැකි විය. එය මේ වගේ දෙයක් පෙනුණා:
අපැහැදිලි කිරීම ඔවුන්ගේ ක්ෂේත්රයේ වෘත්තිකයන් විසින් සිදු කරන ලදී. මම පුදුම වුණා!
Evil.doc නිර්මාණය කිරීමේදී මගේ උත්සාහය මෙන් නොව, කේතය අපැහැදිලි කිරීමට ප්රහාරකයන් ඇත්තෙන්ම දක්ෂයි. හරි, ඊළඟ කොටසේදී අපි අපේ VBA නිදොස්කරණයන් ඉවත් කර, මෙම කේතයට ටිකක් ගැඹුරට කිමිදී අපගේ විශ්ලේෂණය HA ප්රතිඵල සමඟ සසඳන්නෙමු.
මූලාශ්රය: www.habr.com