Ky artikull është pjesë e serisë Fileless Malware. Të gjitha pjesët e tjera të serisë:
- Aventurat e malware të pakapshëm, Pjesa II: Skriptet e fshehura VBA (ne jemi këtu)
Unë jam një fans i faqes (analiza hibride, më poshtë HA). Ky është një lloj kopshti zoologjik malware ku mund të vëzhgoni me siguri "grabitqarët" e egër nga një distancë e sigurt pa u sulmuar. HA ekzekuton malware në mjedise të sigurta, regjistron thirrjet e sistemit, skedarët e krijuar dhe trafikun e internetit dhe ju jep të gjitha këto rezultate për çdo mostër që analizon. Në këtë mënyrë, ju nuk duhet të humbni kohën dhe energjinë tuaj duke u përpjekur të kuptoni vetë kodin konfuz, por mund të kuptoni menjëherë të gjitha qëllimet e hakerëve.
Shembujt HA që tërhoqën vëmendjen time përdorin skriptet e koduara JavaScript ose Visual Basic për Aplikacione (VBA) të ngulitura si makro në dokumentet Word ose Excel dhe të bashkangjitura në emailet e phishing. Kur hapen, këto makro fillojnë një sesion PowerShell në kompjuterin e viktimës. Hakerët zakonisht dërgojnë një rrymë komandash të koduar Base64 në PowerShell. E gjithë kjo bëhet për ta bërë të vështirë zbulimin e sulmit nga filtrat e uebit dhe programet antivirus që u përgjigjen disa fjalë kyçe.
Për fat të mirë, HA deshifron automatikisht Base64 dhe shfaq gjithçka në një format të lexueshëm menjëherë. Në thelb, nuk duhet të përqendroheni në mënyrën se si funksionojnë këto skripta sepse do të jeni në gjendje të shihni daljen e plotë të komandës për proceset e ekzekutimit në seksionin përkatës të HA. Shih shembullin më poshtë:
Analiza hibride përgjon komandat e koduara Base64 të dërguara në PowerShell:
...dhe pastaj i deshifron ato për ju. #magjikisht
В Krijova kontejnerin tim paksa të turbullt JavaScript për të drejtuar një sesion PowerShell. Skripti im, si shumë programe keqdashëse të bazuara në PowerShell, më pas shkarkon skriptin e mëposhtëm PowerShell nga një faqe interneti në distancë. Pastaj, si shembull, ngarkova një PS të padëmshme që printoi një mesazh në ekran. Por kohët po ndryshojnë, dhe tani unë propozoj të komplikojmë skenarin.
PowerShell Empire dhe Reverse Shell
Një nga qëllimet e këtij ushtrimi është të tregojë se si (relativisht) lehtë një haker mund të anashkalojë mbrojtjet klasike rrethuese dhe antiviruset. Nëse një bloger IT pa aftësi programimi, si unë, mund ta bëjë këtë në disa mbrëmje (plotësisht i pazbuluar, FUD), imagjinoni aftësitë e një hakeri të ri të interesuar për këtë!
Dhe nëse jeni një ofrues i sigurisë së TI-së, por menaxheri juaj nuk është i vetëdijshëm për pasojat e mundshme të këtyre kërcënimeve, thjesht tregoni atij këtë artikull.
Hakerët ëndërrojnë të kenë akses të drejtpërdrejtë në laptopin ose serverin e viktimës. Kjo është shumë e thjeshtë për t'u bërë: gjithçka që duhet të bëjë një haker është të marrë disa skedarë konfidencialë në laptopin e CEO.
Disi unë tashmë në lidhje me kohën e ekzekutimit pas prodhimit të PowerShell Empire. Le të kujtojmë se çfarë është.
Është në thelb një mjet testimi i depërtimit i bazuar në PowerShell që, ndër shumë veçori të tjera, ju lejon të ekzekutoni me lehtësi një predhë të kundërt. Mund ta studioni më në detaje në .
Le të bëjmë një eksperiment të vogël. Kam ngritur një mjedis të sigurt testimi të malware në cloud të Shërbimeve Ueb Amazon. Ju mund të ndiqni shembullin tim për të treguar shpejt dhe në mënyrë të sigurt një shembull funksional të kësaj dobësie (dhe të mos pushoni nga puna për përdorimin e viruseve brenda perimetrit të ndërmarrjes).
Nëse nisni tastierën PowerShell Empire, do të shihni diçka si kjo:
Fillimisht filloni procesin e dëgjuesit në kompjuterin tuaj haker. Futni komandën "dëgjues" dhe specifikoni adresën IP të sistemit tuaj duke përdorur "set Host". Pastaj filloni procesin e dëgjuesit me komandën "ekzekutoni" (më poshtë). Kështu, nga ana juaj, do të filloni të prisni për një lidhje rrjeti nga guaska e largët:
Për anën tjetër, do t'ju duhet të gjeneroni një kod agjenti duke futur komandën "launcher" (shih më poshtë). Kjo do të gjenerojë kodin PowerShell për agjentin në distancë. Vini re se ai është i koduar në Base64 dhe përfaqëson fazën e dytë të ngarkesës. Me fjalë të tjera, kodi im JavaScript tani do ta tërheqë këtë agjent për të ekzekutuar PowerShell në vend që të printojë tekst në mënyrë të padëmshme në ekran dhe do të lidhet me serverin tonë të largët PSE për të ekzekutuar një guaskë të kundërt.
Magjia e guaskës së kundërt. Kjo komandë e koduar PowerShell do të lidhet me dëgjuesin tim dhe do të nisë një guaskë në distancë.
Për t'ju treguar këtë eksperiment, mora rolin e viktimës së pafajshme dhe hapa Evil.doc, duke nisur kështu JavaScript-in tonë. E mbani mend pjesën e parë? PowerShell është konfiguruar për të parandaluar shfaqjen e dritares së tij, kështu që viktima nuk do të vërejë asgjë të pazakontë. Megjithatë, nëse hapni "Menaxherin e detyrave të Windows", do të shihni një proces PowerShell në sfond, i cili gjithsesi nuk do të shkaktojë ndonjë alarm për shumicën e njerëzve. Sepse është thjesht PowerShell i rregullt, apo jo?
Tani kur ekzekutoni Evil.doc, një proces sfondi i fshehur do të lidhet me serverin që ekzekuton PowerShell Empire. Duke vendosur kapelën time të bardhë të hakerëve pentester, u ktheva në tastierën PowerShell Empire dhe tani shoh një mesazh që agjenti im në distancë është aktiv.
Më pas futa komandën "ndërveproj" për të hapur një guaskë në PSE - dhe ja ku isha! Me pak fjalë, kam hakuar serverin Taco që kam vendosur vetë një herë.
Ajo që sapo tregova nuk kërkon shumë punë nga ana juaj. Ju mund t'i bëni të gjitha këto lehtësisht gjatë pushimit të drekës për një ose dy orë për të përmirësuar njohuritë tuaja për sigurinë e informacionit. Është gjithashtu një mënyrë e shkëlqyer për të kuptuar se si hakerat po anashkalojnë perimetrin tuaj të jashtëm të sigurisë dhe po futen brenda sistemeve tuaja.
Menaxherët e IT-së që mendojnë se kanë ndërtuar një mbrojtje të padepërtueshme kundër çdo ndërhyrjeje, ndoshta do ta shohin atë edhe edukativ - domethënë, nëse mund t'i bindni ata të ulen me ju mjaft gjatë.
Le të kthehemi në realitet
Siç prisja, një hak i vërtetë, i padukshëm për përdoruesin mesatar, është thjesht një variacion i asaj që sapo përshkrova. Për të mbledhur materiale për botimin e radhës, fillova të kërkoja një mostër në HA që funksionon në të njëjtën mënyrë si shembulli im i shpikur. Dhe nuk më duhej ta kërkoja për një kohë të gjatë - ka shumë mundësi për një teknikë të ngjashme sulmi në sit.
Malware që gjeta përfundimisht në HA ishte një skript VBA që ishte ngulitur në një dokument Word. Kjo do të thotë, nuk kam nevojë as të falsifikoj shtesën e dokumentit, ky malware është me të vërtetë një dokument i Microsoft Word me pamje normale. Nëse jeni të interesuar, unë zgjodha këtë mostër të quajtur .
Mësova shpejt se shpesh nuk mund të tërhiqni drejtpërdrejt skriptet VBA me qëllim të keq nga një dokument. Hakerët i kompresojnë dhe i fshehin në mënyrë që të mos jenë të dukshme në mjetet makro të integruara të Word-it. Do t'ju duhet një mjet i veçantë për ta hequr atë. Për fat më takoi një skaner Frank Baldwin. Faleminderit, Frank.
Duke përdorur këtë mjet, unë arrita të nxjerr kodin VBA shumë të turbullt. Dukej diçka si kjo:
Errëzimi është bërë nga profesionistë të fushës së tyre. Un isha i impresionuar!
Sulmuesit janë vërtet të mirë në fshehjen e kodit, jo si përpjekjet e mia në krijimin e Evil.doc. Mirë, në pjesën tjetër do të nxjerrim korrigjuesit tanë VBA, do të zhyteni pak më thellë në këtë kod dhe do të krahasojmë analizën tonë me rezultatet e HA.
Burimi: www.habr.com