Sengoliloeng sena ke karolo ea letoto la Fileless Malware. Likarolo tse ling kaofela tsa letoto:
- Adventures of Elusive Malware, Karolo ea II: Lingoliloeng tsa VBA tse patiloeng (re mona)
Ke morati oa sebaka seo (tlhahlobo e nyalisitsoeng, ka morao ho moo HA). Ona ke mofuta oa zoo ea malware moo o ka shebellang "libatana" tse hlaha u le hole ntle le ho hlaseloa. HA e tsamaisa malware libakeng tse sireletsehileng, e tlaleha mehala ea sistimi, lifaele tse thehileng le sephethephethe sa Marang-rang, 'me e u fa liphetho tsena kaofela bakeng sa sampole ka 'ngoe eo e e hlahlobisisang. Ka tsela ena, ha ho hlokahale hore u senye nako le matla a hao ho leka ho fumana khoutu e ferekanyang u le mong, empa hang-hang u ka utloisisa merero eohle ea bahlaseli.
Mehlala ea HA e ileng ea hapa maikutlo a ka e sebelisa lingoloa tsa JavaScript kapa tsa Visual Basic for Applications (VBA) tse kentsoeng joalo ka macros litokomaneng tsa Lentsoe kapa Excel mme li hokahantsoe le li-imeile tsa phishing. Ha li buloa, li-macros tsena li qala lenaneo la PowerShell khomphuteng ea motho ea hlasetsoeng. Hangata, linokoane li romella molaetsa o kentsoeng oa Base64 ho PowerShell. Sena sohle se etsoa ho etsa hore tlhaselo e be thata ho lemoha ka li-filters tsa marang-rang le software ea antivirus e arabelang mantsoe a itseng a bohlokoa.
Ka lehlohonolo, HA e ikhethela Base64 ka bo eona 'me e bonts'a ntho e ngoe le e ngoe ka sebopeho se baloang hang-hang. Ha e le hantle, ha ua tlameha ho tsepamisa maikutlo holima hore na mangolo ana a sebetsa joang hobane u tla khona ho bona tlhahiso e felletseng ea litaelo bakeng sa lits'ebetso tse sebetsang karolong e tsamaellanang ea HA. Sheba mohlala o ka tlase:
Tlhahlobo ea Hybrid e thibela litaelo tsa Base64 tse kentsoeng tse rometsoeng ho PowerShell:
...ebe o di khethela tsona. #ka boselamose
В Ke thehile setshelo sa ka sa JavaScript se sa hlakang hanyane ho tsamaisa lenaneo la PowerShell. Script ea ka, joalo ka malware a mangata a PowerShell, ebe o khoasolla mongolo o latelang oa PowerShell webosaeteng e hole. Joale, ka mohlala, ke ile ka kenya PS e seng kotsi e hatisitseng molaetsa skrineng. Empa linako lia fetoha, 'me joale ke etsa tlhahiso ea ho thatafatsa boemo.
PowerShell Empire le Reverse Shell
E 'ngoe ea lipheo tsa boikoetliso bona ke ho bonts'a hore na (ka mokhoa o batlang) mohatelli a ka feta habonolo ts'ireletso ea perimeter le li-antivirus. Haeba blogger ea IT e se nang tsebo ea ho etsa mananeo, joalo ka nna, e ka e etsa mantsiboea a 'maloa (e sa lemohuoe ka botlalo, FUD), nahana ka bokhoni ba mohatelli e monyane ea thahasellang sena!
'Me haeba u mofani oa tšireletso ea IT, empa mookameli oa hau ha a tsebe liphello tse ka bang teng tsa litšokelo tsena, mo bontše sehlooho sena feela.
Li-Hackers li lora ka ho fumana phihlello e tobileng ho laptop kapa seva ea motho ea hlasetsoeng. Sena se bonolo haholo ho se etsa: sohle seo mohatelli a lokelang ho se etsa ke ho fumana lifaele tse 'maloa tsa lekunutu ho laptop ea CEO.
Ka tsela e itseng ke se ke ntse ke le teng mabapi le nako ea tlhahiso ea morao-rao ea PowerShell Empire. Ha re hopoleng hore na ke eng.
Ha e le hantle ke sesebelisoa sa tlhahlobo ea ho kenella ka matla sa PowerShell seo, har'a likarolo tse ling tse ngata, se u lumellang hore u tsamaise khetla e khutlelang morao habonolo. U ka ithuta eona ka botlalo ho .
Ha re etseng teko e nyane. Ke thehile tikoloho e sireletsehileng ea tlhahlobo ea malware lerung la Amazon Web Services. U ka latela mohlala oa ka ho bonts'a mohlala o sebetsang oa ts'okelo ena kapele le ka mokhoa o bolokehileng (mme o se ke oa lelekoa bakeng sa ho tsamaisa livaerase kahare ho sebaka sa khoebo).
Haeba u tsebisa PowerShell Empire console, u tla bona ntho e kang ena:
Pele u qala tshebetso ya momameli khomphuteng ya hao Hacker. Kenya taelo "momameli", 'me u hlalose aterese ea IP ea sistimi ea hau u sebelisa "set Host". Ebe o qala ts'ebetso ea momameli ka taelo ea "execute" (e ka tlase). Kahoo, ka lehlakoreng la hau, u tla qala ho emela khokahano ea marang-rang ho tsoa ho khetla e hole:
Ka lehlakoreng le leng, o tla hloka ho hlahisa khoutu ea moemeli ka ho kenya taelo ea "launcher" (sheba ka tlase). Sena se tla hlahisa khoutu ea PowerShell bakeng sa moemeli ea hole. Hlokomela hore e kentsoe ho Base64, 'me e emela karolo ea bobeli ea mojaro oa moputso. Ka mantsoe a mang, khoutu ea ka ea JavaScript joale e tla hula moemeli enoa ho tsamaisa PowerShell ho fapana le ho hatisa mongolo skrineng, ebe o hokela ho seva sa rona se hole sa PSE ho tsamaisa khetla e ka morao.
Boselamose ba khetla e khutlelang morao. Taelo ena ea khoutu ea PowerShell e tla hokela ho momameli oa ka ebe e qala khetla e hole.
Ho u bontša teko ena, ke ile ka nka karolo ea motho ea se nang molato 'me ka bula Evil.doc, kahoo ke qala JavaScript ea rona. Hopola karolo ya pele? PowerShell e hlophisitsoe ho thibela fensetere ea eona hore e se ke ea hlaha, kahoo motho ea hlokofalitsoeng a ke ke a hlokomela letho le sa tloaelehang. Leha ho le joalo, haeba u bula Windows Task Manager, u tla bona ts'ebetso ea PowerShell ea morao-rao e ke keng ea baka alamo ho batho ba bangata. Hobane ke PowerShell e tloaelehileng feela, na ha ho joalo?
Joale ha o tsamaisa Evil.doc, ts'ebetso e ipatileng ea morao-rao e tla hokela ho seva e tsamaisang PowerShell Empire. Ke roetse katiba ea ka e tšoeu ea pentester hacker, ke ile ka khutlela ho PowerShell Empire console mme joale ke bona molaetsa oa hore moemeli oa ka o hole o sebetsa.
Eaba ke kenya taelo ea "interact" ho bula khetla ho PSE - mme ke moo ke neng ke le teng! Ka bokhutšoanyane, ke ile ka senya seva sa Taco seo ke se entseng hang.
Seo ke qetang ho se bontša ha se hloke mosebetsi o mongata ho uena. U ka etsa tsena tsohle habonolo nakong ea khefu ea lijo tsa mots'eare bakeng sa hora e le 'ngoe kapa tse peli ho ntlafatsa tsebo ea hau ea ts'ireletso ea tlhahisoleseling. Hape ke mokhoa o motle oa ho utloisisa hore na linokoane li feta sebaka sa hau sa ts'ireletso sa kantle le ho kena ka har'a sistimi ea hau.
Baokameli ba IT ba nahanang hore ba hahile tšireletso e ke keng ea qojoa khahlanong le ho kena-kenana le ho kena-kenana le bona ba tla e fumana e ruta - ke hore, haeba u ka ba kholisa hore ba lule le uena nako e telele ka ho lekaneng.
Ha re khutleleng 'neteng
Joalo ka ha ke ne ke lebelletse, ho qhekella ha 'nete, ho sa bonahaleng ho mosebelisi ea tloaelehileng, ke phapang feela ea seo ke sa tsoa se hlalosa. Ho bokella boitsebiso bakeng sa khatiso e latelang, ke ile ka qala ho batla sampole ho HA e sebetsang ka tsela e tšoanang le mohlala oa ka oo ke o qapileng. 'Me ha kea tlameha ho e batla nako e telele - ho na le likhetho tse ngata bakeng sa mokhoa o ts'oanang oa tlhaselo setšeng.
Malware eo qetellong ke e fumaneng ho HA e ne e le sengoloa sa VBA se neng se kentsoe tokomaneng ea Lentsoe. Ka mantsoe a mang, ha ke hloke le ho qhekella katoloso ea doc, malware ena ehlile ke tokomane e shebahalang e tloaelehile ea Microsoft Word. Haeba u thahasella, ke khethile sampole ena e bitsoang .
Ke ile ka ithuta kapele hore hangata ha o khone ho hula mangolo a kotsi a VBA ho tsoa tokomaneng. Li-Hackers lia li hatella le ho li pata hore li se ke tsa bonahala ka har'a lisebelisoa tse kholo tsa Word. U tla hloka sesebelisoa se khethehileng ho e tlosa. Ka lehlohonolo ke ile ka kopana le scanner Frank Baldwin. Kea leboha, Frank.
Ke sebelisa sesebelisoa sena, ke khonne ho ntša khoutu ea VBA e sa bonahaleng haholo. E ne e shebahala tjena:
The obfuscation e entsoe ke litsebi tšimong ea bona. Ke ile ka khahloa!
Bahlaseli ba hlile ba sebetsa hantle ho obfuscating khoutu, ha ba tšoane le boiteko ba ka ba ho theha Evil.doc. Ho lokile, karolong e latelang re tla ntša li-debugger tsa rona tsa VBA, re kenelle ka hare ho khoutu ena 'me re bapise tlhahlobo ea rona le liphello tsa HA.
Source: www.habr.com