ProHoster > බ්ලොග් > පරිපාලනය > The Adventures of Elusive Malware, II කොටස: Secretive VBA Scripts

The Adventures of Elusive Malware, II කොටස: Secretive VBA Scripts

The Adventures of Elusive Malware, II කොටස: Secretive VBA Scripts

මෙම ලිපිය Fileless Malware මාලාවේ කොටසකි. මාලාවේ අනෙකුත් සියලුම කොටස්:

මම වෙබ් අඩවියේ රසිකයෙක් දෙමුහුන් විශ්ලේෂණය (දෙමුහුන් විශ්ලේෂණය, මෙතැන් සිට HA). මෙය ඔබට පහර නොදී ආරක්ෂිත දුර සිට වල් "විලෝපිකයන්" ආරක්ෂිතව නිරීක්ෂණය කළ හැකි අනිෂ්ට මෘදුකාංග සත්වෝද්‍යානයකි. HA ආරක්ෂිත පරිසරයන් තුළ අනිෂ්ට මෘදුකාංග ධාවනය කරයි, පද්ධති ඇමතුම් වාර්තා කරයි, සාදන ලද ගොනු සහ අන්තර්ජාල ගමනාගමනය, සහ එය විශ්ලේෂණය කරන සෑම නියැදියකටම මෙම ප්‍රතිඵල ලබා දෙයි. මේ ආකාරයෙන්, ඔබ විසින්ම ව්යාකූල කේතය සොයා ගැනීමට උත්සාහ කිරීම සඳහා ඔබේ කාලය හා ශක්තිය නාස්ති කිරීමට අවශ්ය නැත, නමුත් වහාම හැකර්වරුන්ගේ අභිප්රායන් සියල්ල තේරුම් ගත හැකිය.

මගේ අවධානයට ලක් වූ HA උදාහරණ කේතගත JavaScript හෝ Visual Basic for Applications (VBA) ස්ක්‍රිප්ට් වර්ඩ් හෝ එක්සෙල් ලේඛනවල මැක්‍රෝ ලෙස කාවැද්දූ සහ තතුබෑම් ඊමේල්වලට අමුණා ඇත. විවෘත කළ විට, මෙම මැක්‍රෝස් වින්දිතයාගේ පරිගණකයේ PowerShell සැසියක් ආරම්භ කරයි. හැකර්වරුන් සාමාන්‍යයෙන් PowerShell වෙත Base64 කේතනය කළ විධාන ප්‍රවාහයක් යවයි. මේ සියල්ල සිදු කරනුයේ ඇතැම් මූල පද වලට ප්‍රතිචාර දක්වන වෙබ් පෙරහන් සහ ප්‍රති-වයිරස මෘදුකාංග මගින් ප්‍රහාරය හඳුනා ගැනීම අපහසු කිරීමට ය.
වාසනාවකට මෙන්, HA ස්වයංක්‍රීයව Base64 විකේතනය කර සියල්ල කියවිය හැකි ආකෘතියකින් වහාම පෙන්වයි. අත්‍යවශ්‍යයෙන්ම, ඔබට මෙම ස්ක්‍රිප්ට් ක්‍රියා කරන ආකාරය ගැන අවධානය යොමු කිරීමට අවශ්‍ය නැත, මන්ද ඔබට HA හි අනුරූප කොටසෙහි ධාවන ක්‍රියාවලි සඳහා සම්පූර්ණ විධාන ප්‍රතිදානය දැකීමට හැකි වනු ඇත. පහත උදාහරණය බලන්න:

The Adventures of Elusive Malware, II කොටස: Secretive VBA Scripts

දෙමුහුන් විශ්ලේෂණය PowerShell වෙත යවන ලද Base64 කේතනය කළ විධානවලට බාධා කරයි:

The Adventures of Elusive Malware, II කොටස: Secretive VBA Scripts

...ඉන්පසු ඒවා ඔබ වෙනුවෙන් විකේතනය කරයි. #මැජික් ලෙස

В පෙර පෝස්ට් PowerShell සැසියක් ක්‍රියාත්මක කිරීම සඳහා මම මගේම තරමක් අපැහැදිලි JavaScript කන්ටේනරයක් නිර්මාණය කළෙමි. මගේ ස්ක්‍රිප්ට්, බොහෝ PowerShell මත පදනම් වූ අනිෂ්ට මෘදුකාංග මෙන්, පසුව දුරස්ථ වෙබ් අඩවියකින් පහත PowerShell ස්ක්‍රිප්ට් බාගත කරයි. ඉන්පසුව, උදාහරණයක් ලෙස, මම තිරය මත පණිවිඩයක් මුද්‍රණය කළ හානිකර නොවන PS එකක් පූරණය කළෙමි. නමුත් කාලය වෙනස් වෙමින් පවතින අතර දැන් මම යෝජනා කරන්නේ තත්වය සංකීර්ණ කිරීමට ය.

PowerShell අධිරාජ්‍යය සහ Reverse Shell

මෙම අභ්‍යාසයේ එක් අරමුණක් වන්නේ හැකර්වරයෙකුට සම්භාව්‍ය පරිමිතිය ආරක්‍ෂාව සහ ප්‍රතිවෛරස මගහැර යා හැකි ආකාරය (සාපේක්ෂව) පෙන්වීමයි. මා වැනි ක්‍රමලේඛන කුසලතා නොමැති තොරතුරු තාක්ෂණ බ්ලොග්කරුවෙකුට එය සවස දෙකකින් කළ හැකිය හඳුනාගත නොහැකි අනිෂ්ට මෘදුකාංග සාදන්න (සම්පූර්ණයෙන් හඳුනා නොගත්, FUD), මේ ගැන උනන්දුවක් දක්වන තරුණ හැකර්වරයෙකුගේ හැකියාවන් ගැන සිතන්න!

තවද ඔබ තොරතුරු තාක්ෂණ ආරක්ෂණ සපයන්නෙකු නම්, නමුත් ඔබේ කළමනාකරු මෙම තර්ජනවල ප්‍රතිවිපාක ගැන නොදන්නේ නම්, ඔහුට මෙම ලිපිය පෙන්වන්න.

වින්දිතයාගේ ලැප්ටොප් පරිගණකයට හෝ සේවාදායකයට සෘජු ප්‍රවේශයක් ලබා ගැනීමට හැකර්වරු සිහින දකිති. මෙය සිදු කිරීම ඉතා සරල ය: හැකර්වරයෙකුට අවශ්‍ය වන්නේ ප්‍රධාන විධායක නිලධාරියාගේ ලැප්ටොප් පරිගණකයේ රහස්‍ය ලිපිගොනු කිහිපයක් ලබා ගැනීමයි.

කෙසේ හෝ මම දැනටමත් ලිවීය PowerShell Empire පශ්චාත් නිෂ්පාදන ධාවන කාලය ගැන. එය කුමක්දැයි අපි මතක තබා ගනිමු.

එය අවශ්‍යයෙන්ම PowerShell මත පදනම් වූ විනිවිද යාමේ පරීක්ෂණ මෙවලමක් වන අතර, වෙනත් බොහෝ විශේෂාංග අතර, ප්‍රතිලෝම කවචයක් පහසුවෙන් ධාවනය කිරීමට ඔබට ඉඩ සලසයි. ඔබට එය වඩාත් විස්තරාත්මකව අධ්‍යයනය කළ හැකිය PSE මුල් පිටුව.

අපි පොඩි අත්හදා බැලීමක් කරමු. මම Amazon Web Services cloud හි ආරක්ෂිත අනිෂ්ට මෘදුකාංග පරීක්ෂණ පරිසරයක් පිහිටුවමි. මෙම අවදානම පිළිබඳ ක්‍රියාකාරී උදාහරණයක් ඉක්මනින් සහ ආරක්ෂිතව පෙන්වීමට ඔබට මගේ ආදර්ශය අනුගමනය කළ හැකිය (සහ ව්‍යවසාය පරිමිතිය තුළ වෛරස් ධාවනය කිරීම සඳහා වෙඩි නොතබන්න).

ඔබ PowerShell Empire කොන්සෝලය දියත් කළහොත්, ඔබට මෙවැනි දෙයක් පෙනෙනු ඇත:

The Adventures of Elusive Malware, II කොටස: Secretive VBA Scripts

මුලින්ම ඔබ ඔබේ හැකර් පරිගණකයේ සවන්දීමේ ක්‍රියාවලිය ආරම්භ කරන්න. "සවන් දෙන්නා" විධානය ඇතුල් කරන්න, "සෙට් හොස්ට්" භාවිතයෙන් ඔබේ පද්ධතියේ IP ලිපිනය සඳහන් කරන්න. ඉන්පසු "ක්‍රියාත්මක කරන්න" විධානය (පහත) සමඟ ශ්‍රාවක ක්‍රියාවලිය ආරම්භ කරන්න. මේ අනුව, ඔබගේ පැත්තෙන්, ඔබ දුරස්ථ කවචයෙන් ජාල සම්බන්ධතාවයක් සඳහා බලා සිටීමට පටන් ගනී:

The Adventures of Elusive Malware, II කොටස: Secretive VBA Scripts

අනෙක් පැත්ත සඳහා, ඔබට "launcher" විධානය ඇතුළත් කිරීමෙන් නියෝජිත කේතයක් ජනනය කිරීමට අවශ්‍ය වනු ඇත (පහත බලන්න). මෙය දුරස්ථ නියෝජිතයා සඳහා PowerShell කේතය ජනනය කරනු ඇත. එය Base64 හි කේතනය කර ඇති අතර, එය ගෙවීමේ දෙවන අදියර නියෝජනය කරන බව සලකන්න. වෙනත් වචන වලින් කිවහොත්, මගේ ජාවාස්ක්‍රිප්ට් කේතය දැන් මෙම නියෝජිතයා පවර්ෂෙල් ක්‍රියාත්මක කර තිරයට අකුරු මුද්‍රණය කරනවා වෙනුවට ප්‍රතිලෝම කවචයක් ධාවනය කිරීමට අපගේ දුරස්ථ PSE සේවාදායකයට සම්බන්ධ කරයි.

The Adventures of Elusive Malware, II කොටස: Secretive VBA Scripts
ප්‍රතිලෝම කවචයේ මායාව. මෙම සංකේතාත්මක PowerShell විධානය මගේ සවන්දෙන්නාට සම්බන්ධ වී දුරස්ථ කවචයක් දියත් කරනු ඇත.

මෙම අත්හදා බැලීම ඔබට පෙන්වීමට, මම අහිංසක වින්දිතයාගේ භූමිකාව භාරගෙන Evil.doc විවෘත කළෙමි, එමඟින් අපගේ JavaScript දියත් කළෙමි. පළමු කොටස මතකද? PowerShell එහි කවුළුව මතුවීම වැළැක්වීමට වින්‍යාස කර ඇත, එබැවින් වින්දිතයා අසාමාන්‍ය කිසිවක් නොදකිනු ඇත. කෙසේ වෙතත්, ඔබ Windows Task Manager විවෘත කළහොත්, කෙසේ හෝ බොහෝ පුද්ගලයන්ට අනතුරු ඇඟවීමක් සිදු නොකරන පසුබිම් PowerShell ක්‍රියාවලියක් ඔබට පෙනෙනු ඇත. මොකද ඒක සාමාන්‍ය PowerShell එකක් නේද?

The Adventures of Elusive Malware, II කොටස: Secretive VBA Scripts

දැන් ඔබ Evil.doc ධාවනය කරන විට, සැඟවුණු පසුබිම් ක්‍රියාවලියක් PowerShell Empire ධාවනය වන සේවාදායකයට සම්බන්ධ වේ. මගේ සුදු පෙන්ටෙස්ටර් හැකර් තොප්පිය පැළඳ, මම PowerShell Empire කොන්සෝලය වෙත ආපසු ගිය අතර දැන් මගේ දුරස්ථ නියෝජිතයා සක්‍රීය බවට පණිවිඩයක් දකිමි.

The Adventures of Elusive Malware, II කොටස: Secretive VBA Scripts

PSE හි කවචයක් විවෘත කිරීමට මම "interact" විධානය ඇතුළත් කළෙමි - සහ මම එහි සිටියෙමි! කොටින්ම මමම සෙට් කරපු Taco server එක එක පාරක් හැක් කරා.

The Adventures of Elusive Malware, II කොටස: Secretive VBA Scripts

මම දැන් පෙන්වූ දෙයට ඔබේ පැත්තෙන් එතරම් වැඩ අවශ්‍ය නොවේ. ඔබේ තොරතුරු ආරක්‍ෂාව පිළිබඳ දැනුම වැඩි දියුණු කර ගැනීම සඳහා පැය එකක් හෝ දෙකක් ඔබේ දිවා ආහාර විවේකයේදී ඔබට මේ සියල්ල පහසුවෙන් කළ හැකිය. හැකර්වරුන් ඔබගේ බාහිර ආරක්‍ෂක පරිමිතිය මගහැර ඔබගේ පද්ධති තුලට ඇතුළු වන්නේ කෙසේද යන්න තේරුම් ගැනීමටද එය කදිම ක්‍රමයකි.

ඕනෑම ආක්‍රමණයකට එරෙහිව නොබිඳිය හැකි ආරක්‍ෂාවක් ගොඩනඟා ඇතැයි සිතන තොරතුරු තාක්ෂණ කළමනාකරුවන් එය අධ්‍යාපනික වශයෙන් ද සොයා ගනු ඇත - එනම්, ඔබ සමඟ ප්‍රමාණවත් කාලයක් වාඩි වීමට ඔබට ඔවුන්ට ඒත්තු ගැන්විය හැකි නම්.

අපි නැවත යථාර්ථයට යමු

මා අපේක්ෂා කළ පරිදි, සාමාන්‍ය පරිශීලකයෙකුට නොපෙනෙන සැබෑ හැක් එකක් යනු මා විස්තර කළ දෙයෙහි වෙනසක් පමණි. මීළඟ ප්‍රකාශනය සඳහා ද්‍රව්‍ය එකතු කිරීම සඳහා, මම මගේ නිපැයුම් උදාහරණයට සමාන ආකාරයෙන් ක්‍රියා කරන HA මත නියැදියක් සෙවීමට පටන් ගතිමි. මට එය දිගු කලක් සෙවීමට සිදු නොවීය - වෙබ් අඩවියේ සමාන ප්‍රහාරක තාක්‍ෂණයක් සඳහා බොහෝ විකල්ප තිබේ.

මම අවසානයේ HA මත සොයාගත් අනිෂ්ට මෘදුකාංගය Word ලේඛනයක කාවැද්දූ VBA ස්ක්‍රිප්ට් එකකි. එනම්, මට ඩොක් දිගුව ව්‍යාජ කිරීමට අවශ්‍ය නැත, මෙම අනිෂ්ට මෘදුකාංගය ඇත්ත වශයෙන්ම සාමාන්‍ය පෙනුමක් ඇති Microsoft Word ලේඛනයකි. ඔබ කැමති නම්, මම මෙම නියැදිය තෝරා ගත්තෙමි rfq.doc.

ඔබට බොහෝ විට ද්වේශසහගත VBA ස්ක්‍රිප්ට් ලේඛනයකින් පිටතට ඇද ගත නොහැකි බව මම ඉක්මනින්ම දැන ගතිමි. හැකර්වරුන් ඒවා සම්පීඩනය කර සඟවයි, එවිට ඒවා Word හි ඇති මැක්‍රෝ මෙවලම්වල නොපෙනේ. එය ඉවත් කිරීම සඳහා ඔබට විශේෂ මෙවලමක් අවශ්ය වනු ඇත. වාසනාවකට මට ස්කෑනර් යන්ත්‍රයක් හමු විය OfficeMalScanner ෆ්රෑන්ක් බෝල්ඩ්වින්. ස්තූතියි, ෆ්‍රෑන්ක්.

මෙම මෙවලම භාවිතයෙන්, මට ඉතා අපැහැදිලි VBA කේතය ලබා ගැනීමට හැකි විය. එය මේ වගේ දෙයක් පෙනුණා:

The Adventures of Elusive Malware, II කොටස: Secretive VBA Scripts
අපැහැදිලි කිරීම ඔවුන්ගේ ක්ෂේත්රයේ වෘත්තිකයන් විසින් සිදු කරන ලදී. මම පුදුම වුණා!

Evil.doc නිර්මාණය කිරීමේදී මගේ උත්සාහය මෙන් නොව, කේතය අපැහැදිලි කිරීමට ප්‍රහාරකයන් ඇත්තෙන්ම දක්ෂයි. හරි, ඊළඟ කොටසේදී අපි අපේ VBA නිදොස්කරණයන් ඉවත් කර, මෙම කේතයට ටිකක් ගැඹුරට කිමිදී අපගේ විශ්ලේෂණය HA ප්‍රතිඵල සමඟ සසඳන්නෙමු.

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න