Maqaalkani waa qayb ka mid ah taxanaha Malware-ka Fileless. Dhammaan qaybaha kale ee taxanaha:
- Adventures of the Elusive Malware, Qaybta II: Qarsoon VBA Scripts (waxaan joognaa halkan)
waxaan ahay taageere goobta (falanqaynta isku-dhafka ah, hadhow HA). Kani waa nooc ka mid ah xayawaanka malware-ka ah oo aad si badbaado leh ugu fiirsan karto "ugaadhayaasha" duurjoogta ah meel fog oo badbaado leh iyada oo aan la weerarin. HA waxay ku dhex waddaa malware-ka deegaan aamin ah, waxay diiwaan gelisaa wicitaanada nidaamka, faylasha la sameeyay iyo taraafikada internetka, waxayna ku siinaysaa dhammaan natiijooyinkan muunad kasta oo ay falanqeyso. Sidan, uma baahnid inaad lumiso wakhtigaaga iyo tamartaada si aad isku daydo inaad ogaato koodka jahwareerka leh, laakiin isla markiiba waad fahmi kartaa dhammaan ujeedooyinka hackers-ka.
Tusaalooyinka HA ee dareenkayga soo jiitay waxay isticmaalaan JavaScript codeed ama Visual Basic for Applications (VBA) qoraallada ku dhex jira macros ahaan dukumeentiyada Word ama Excel oo ku lifaaqan iimaylada phishingka. Marka la furo, macros-yadani waxay bilaabaan casharka PowerShell kombayutarka dhibbanaha. Haakarisku waxay caadi ahaan u diraan Base64 qulqulka amarrada ee PowerShell. Waxaas oo dhan waxaa loo sameeyaa si ay u adkeeyaan weerarka si ay u ogaadaan filtarrada webka iyo software antivirus ka jawaabaya erayada muhiimka ah qaarkood.
Nasiib wanaag, HA waxay si toos ah u dejisaa Base64 waxayna soo bandhigaysaa wax walba qaab la akhriyi karo isla markaaba. Asal ahaan, uma baahnid inaad diirada saarto sida qoraalladani u shaqeeyaan sababtoo ah waxaad awoodi doontaa inaad aragto amarka buuxa ee habka socodka ee qaybta u dhiganta ee HA. Hoos ka eeg tusaale:
Falanqaynta isku-dhafka ah waxay ka hortagtaa amarada ku lifaaqan Base64 ee loo diro PowerShell:
...kadibna kuu go'aamiya iyaga #sixir
В Waxaan sameeyay weelkayga JavaScript-ka ee waxyar daboolan si aan u socodsiiyo fadhiga PowerShell. Qoraalkayga, sida kuwa badan oo PowerShell-ku-salaysan malware-ka, ka dib waxa uu soo dejiyaa qoraalka PowerShell ee soo socda degel fog. Dabadeed, tusaale ahaan, waxaan ku shubay PS aan waxyeello lahayn oo farriinta ku daabacday shaashadda. Laakiin waqtiyadu way isbedelayaan, hadda waxaan soo jeedinayaa in la adkeeyo xaaladda.
PowerShell Empire iyo Reverse Shell
Mid ka mid ah yoolalka layligan waa in la muujiyo sida (xilli ahaan) hackersku si fudud uga gudbi karo difaacyada wareegga caadiga ah iyo anti-virus-yada. Haddii blogger-ka IT-ga oo aan lahayn xirfado barnaamij, sida aniga oo kale, uu samayn karo dhowr habeen (si buuxda looma ogaanin, FUD), qiyaas awooda hackerka da'da yar ee danaynaya tan!
Oo haddii aad tahay bixiyaha amniga IT, laakiin maamulahaagu aanu ka warqabin cawaaqibka suurtagalka ah ee hanjabaadahan, kaliya tus maqaalkan.
Hackers-ku waxay ku riyoodaan inay si toos ah u galaan laptop-ka ama server-ka dhibbanaha. Tani aad bay u fudud tahay in la sameeyo: dhammaan hackers-ku wuxuu u baahan yahay inuu sameeyo waa inuu helo dhowr faylal sir ah laptop-ka CEO.
Si uun ayaan horeba ku saabsan PowerShell Empire ka dib runtime wax soo saarka. Aan xasuusano waxa ay tahay.
Asal ahaan waa aalad tijaabinta gelida ku saleysan PowerShell kaas oo ka mid ah astaamo kale oo badan, kuu oggolaanaya inaad si fudud u socodsiiso qolof kale. Waxaad si faahfaahsan uga baran kartaa .
Aynu samayno tijaabo yar. Waxaan dejiyay jawi sugan oo tijaabinta malware gudaha daruuraha Adeegyada Shabakadda ee Amazon. Waxaad raaci kartaa tusaalahayga si aad si dhakhso leh oo badbaado leh u muujiso tusaale shaqo oo nuglaanshahan ah (oo aan laguu eryin in uu fayrusyada ku dhex socdo wareegga ganacsiga).
Haddii aad bilowdo console-ka PowerShell Empire, waxaad arki doontaa wax sidan oo kale ah:
Marka hore waxaad ku bilaabaysaa habka dhageysiga kombiyuutarkaaga jabsiga. Geli amarka "dhegeyste", oo sheeg ciwaanka IP-ga ee nidaamkaaga adoo isticmaalaya "set Host". Kadibna ku billow habka dhagaysiga amarka "fulinta" (hoos). Markaa, dhankaaga, waxaad bilaabi doontaa inaad sugto isku xirka shabakada qolofka fog:
Dhanka kale, waxaad u baahan doontaa inaad abuurto koodka wakiilka adiga oo gelaya amarka " Launcher" (hoos eeg). Tani waxay soo saari doontaa koodka PowerShell wakiilka fog. Ogsoonow in ay ku qoran tahay Base64, oo ay ka dhigan tahay wejiga labaad ee culeyska. Si kale haddii loo dhigo, koodhkayga JavaScript wuxuu hadda u jiidi doonaa wakiilkan si uu u socodsiiyo PowerShell beddelka qoraalka aan xumaanta lahayn ee shaashadda, oo uu ku xidho server-kayaga fog ee PSE si uu u sameeyo qolof kale.
Sixirka qolofka rogan. Amarka PowerShell ee summadaysan ayaa ku xidhi doona dhegaystaha oo soo saari doona qolof fog.
Si aan kuu tuso tijaabadan, waxaan qaatay doorka dhibbanaha aan waxba galabsan oo aan furay Evil.doc, si aan u bilaabo JavaScript-kayaga. Xusuusnow qaybta koowaad? PowerShell waxaa loo habeeyay si ay uga ilaaliso in daaqadeeda soo baxdo, markaa dhibbanuhu ma dareemi doono wax aan caadi ahayn. Si kastaba ha noqotee, haddii aad furto Maareeyaha Hawsha Windows, waxaad arki doontaa habka PowerShell asalka ah oo aan wax digniin ah u keeni doonin dadka intiisa badan si kastaba. Sababtoo ah waa PowerShell caadi ah, miyaanay ahayn?
Hadda marka aad maamusho Evil.doc, habka asalka ah ee qarsoon ayaa ku xidhmi doona server-ka ku shaqeeya PowerShell Empire. Xirashada koofiyaddayda koofiyadda pentester-ka cad, waxaan ku soo noqday Console PowerShell Empire oo hadda waxaan arkay farriin ah in wakiilkayga fog uu firfircoon yahay.
Ka dib waxaan galay amarka "isdhexgalka" si aan u furo qolof PSE - halkaasna waan joogay! Marka la soo koobo, waxaan jabsaday server-ka Taco oo aan hal mar isku dhigay.
Waxa aan hadda soo bandhigay uma baahna shaqo intaas leeg oo dhinacaaga ah. Waxaad si fudud u samayn kartaa waxan oo dhan inta lagu jiro wakhtiga qadadaada hal ama laba saacadood si aad u horumariso aqoontaada amniga macluumaadka. Sidoo kale waa hab fiican oo lagu fahmo sida ay jabsadayaashu u dhaafayaan xayndaabka ammaankaaga dibadeed oo ay u gelayaan nidaamkaaga.
Maamulayaasha IT-ga oo u maleynaya inay dhisteen difaac aan la geli karin oo ka dhan ah faragelin kasta waxay u badan tahay inay sidoo kale u arki doonaan waxbarasho - taasi waa, haddii aad ku qancin karto inay kula fadhiistaan waqti kugu filan.
Aan u soo noqono xaqiiqada
Sida aan filayo, jabsiga dhabta ah, oo aan la arki karin celceliska isticmaalaha, waa kala duwanaansho waxa aan hadda ku tilmaamay. Si aan u ururiyo walxaha daabacaadda soo socota, waxaan bilaabay in aan raadiyo muunad HA oo u shaqeeya si la mid ah tusaalaha aan hindisay. Oo uma baahnid inaan raadiyo muddo dheer - waxaa jira fursado badan oo loogu talagalay farsamada weerarka la midka ah ee goobta.
Malware-kii aan ugu dambeyntii ka helay HA wuxuu ahaa qoraal VBA ah oo ku dhex-jiray dukumeenti Word ah. Taasi waa, xitaa uma baahni inaan been abuur ku sameeyo kordhinta dokumentiga, malware-kan runtii waa dukumeenti Microsoft Word ah oo caadi ah. Haddii aad xiisaynayso, waxaan doortay muunadkan la yidhaahdo .
Waxaan si degdeg ah u bartay inaadan inta badan si toos ah uga soo saari karin qoraalada VBA-da xaasidnimada leh ee dukumeentiga. Hackers-ku wuu cadaadiya oo qariyaa si aanay uga dhex muuqan aaladaha macro ee Word-ka ku dhex jira. Waxaad u baahan doontaa qalab gaar ah si aad meesha uga saarto. Nasiib wanaag waxaan la kulmay scanner Frank Baldwin. Waad ku mahadsan tahay, Frank.
Isticmaalka qalabkan, waxaan awooday inaan soo saaro koodka VBA-da ee aadka loo daboolay. Waxay u ekayd sidan:
Caqiidada waxaa sameeyay dad xirfadlayaal ah oo ku sugan goobtooda. Aad baan ula dhacay!
Weeraryahanadu runtii aad bay ugu fiican yihiin inay koodka qariyaan, ma aha sida dadaalkayga abuuritaanka Evil.doc. Hagaag, qaybta soo socota waxaan ka soo saari doonaa khaladiyeyaashayada VBA, wax yar ka sii qoto dheer oo koodkan oo barbar dhig falanqayntayada natiijooyinka HA.
Source: www.habr.com