Tulisan ieu mangrupikeun bagian tina séri Fileless Malware. Sadaya bagian séjén séri:
- Adventures of the Elusive Malware, Bagian II: Skrip VBA Nyumput (kami di dieu)
Abdi kipas tina situs (analisis hibrida, saterusna HA). Ieu mangrupikeun jenis kebon binatang malware dimana anjeun aman tiasa niténan "predator" liar tina jarak anu aman tanpa diserang. HA ngajalankeun malware dina lingkungan aman, rékaman telepon sistem, dijieun file na lalulintas Internet, sarta méré Anjeun sakabéh hasil ieu pikeun tiap sampel eta nganalisa. Ku cara ieu, anjeun teu kudu runtah waktu jeung tanaga anjeun nyobian angka kaluar kode ngabingungkeun sorangan, tapi bisa langsung ngartos sagala niat hacker '.
Conto HA anu narik perhatian kuring nganggo skrip JavaScript atanapi Visual Basic for Applications (VBA) anu disandikeun salaku makro dina dokumén Word atanapi Excel sareng napel kana email phishing. Nalika dibuka, makro ieu ngamimitian sési PowerShell dina komputer korban. Peretas biasana ngirimkeun aliran paréntah anu disandikeun Base64 ka PowerShell. Ieu sadayana dilakukeun pikeun ngajantenkeun serangan hese dideteksi ku saringan wéb sareng parangkat lunak antipirus anu ngaréspon kana kecap konci anu tangtu.
Kabeneran, HA otomatis decodes Base64 tur mintonkeun sagalana dina format bisa dibaca langsung. Intina, anjeun henteu kedah difokuskeun kumaha skrip ieu tiasa dianggo sabab anjeun tiasa ningali kaluaran paréntah lengkep pikeun prosés jalan dina bagian HA anu saluyu. Tingali conto di handap:
Analisis hibrid ngahalangan paréntah anu disandikeun Base64 anu dikirim ka PowerShell:
... lajeng decodes aranjeunna keur anjeun. #sakti
В Kuring nyieun wadah JavaScript rada obfuscated kuring sorangan pikeun ngajalankeun sési PowerShell. Skrip abdi, sapertos seueur malware basis PowerShell, teras unduh skrip PowerShell di handap ieu tina situs wéb anu jauh. Teras, sabagé conto, kuring ngamuat PS anu teu bahaya anu nyitak pesen dina layar. Tapi waktosna robih, sareng ayeuna kuring ngajukeun pikeun ngahesekeun skénario.
PowerShell Empire jeung Reverse Shell
Salah sahiji tujuan latihan ieu nyaéta pikeun nunjukkeun kumaha (relatif) gampang hacker tiasa ngalangkungan pertahanan perimeter klasik sareng antipirus. Upami blogger IT tanpa kaahlian program, sapertos kuring, tiasa ngalakukeunana dina sababaraha sonten (pinuh undetected, FUD), bayangkeun kamampuhan hiji hacker ngora museurkeun ieu!
Tur upami Anjeun salah panyadia kaamanan IT, tapi manajer anjeun teu sadar konsékuansi mungkin tina ancaman ieu, ngan némbongkeun anjeunna artikel ieu.
Peretas ngimpi kéngingkeun aksés langsung kana laptop atanapi server korban. Ieu saderhana pisan pikeun dilakukeun: anu kedah dilakukeun ku hacker nyaéta kéngingkeun sababaraha file rahasia dina laptop CEO.
Kumaha bae kuring geus ngeunaan runtime pasca-produksi PowerShell Empire. Hayu urang apal naon éta.
Dasarna mangrupikeun alat uji penetrasi dumasar PowerShell anu, diantara seueur fitur anu sanés, ngamungkinkeun anjeun gampang ngajalankeun cangkang sabalikna. Anjeun tiasa diajar deui dina leuwih jéntré di .
Hayu urang ngalakukeun percobaan saeutik. Kuring nyetél lingkungan nguji malware aman dina awan Amazon Web Services. Anjeun tiasa nuturkeun conto kuring pikeun gancang sareng aman nunjukkeun conto kerja tina kerentanan ieu (sareng henteu dipecat pikeun ngajalankeun virus di jero perimeter perusahaan).
Upami anjeun ngaluncurkeun konsol PowerShell Empire, anjeun bakal ningali sapertos kieu:
Mimiti anjeun ngamimitian prosés pangdéngé dina komputer hacker anjeun. Lebetkeun paréntah "pangdéngé", sarta tangtukeun alamat IP tina sistem anjeun ngagunakeun "set Host". Teras ngamimitian prosés pangdéngé ku paréntah "ngaéksekusi" (di handap). Janten, di pihak anjeun, anjeun bakal ngamimitian ngantosan sambungan jaringan tina cangkang jauh:
Pikeun sisi séjén, anjeun bakal kedah ngahasilkeun kode agén ku cara nuliskeun paréntah "launcher" (tempo di handap). Ieu bakal ngahasilkeun kode PowerShell pikeun agén jauh. Catet yén éta disandi dina Base64, sarta ngagambarkeun fase kadua payload nu. Dina basa sejen, kode JavaScript abdi ayeuna bakal narik agén ieu ngajalankeun PowerShell tinimbang innocuously nyitak téks kana layar, tur sambungkeun ka server PSE jauh urang pikeun ngajalankeun cangkang sabalikna.
The magic cangkang sabalikna. Paréntah PowerShell anu disandi ieu bakal nyambung ka pangdéngé kuring sareng ngaluncurkeun cangkang jauh.
Pikeun nunjukkeun anjeun percobaan ieu, kuring nyandak peran korban polos sareng muka Evil.doc, ku kituna ngaluncurkeun JavaScript kami. Inget bagian kahiji? PowerShell parantos dikonpigurasi pikeun nyegah jandelana muncul, ku kituna korban moal aya anu perhatikeun anu teu biasa. Nanging, upami anjeun muka Windows Task Manager, anjeun bakal ningali latar tukang prosés PowerShell anu moal nyababkeun alarm naon waé pikeun kalolobaan jalma. Kusabab éta ngan PowerShell biasa, sanés?
Ayeuna nalika anjeun ngajalankeun Evil.doc, prosés latar tukang anu disumputkeun bakal nyambung ka server anu ngajalankeun PowerShell Empire. Pasang topi hacker pentester bodas kuring, kuring uih deui ka konsol PowerShell Empire sareng ayeuna ningali pesen yén agén jauh kuring aktip.
Kuring teras asupkeun paréntah "interaksi" pikeun muka cangkang di PSE - sareng aya kuring! Pondokna, kuring hacked server Taco anu kuring nyetél sorangan sakali.
Naon anu kuring ngan ukur nunjukkeun henteu peryogi seueur padamelan pikeun anjeun. Anjeun tiasa sacara gampil ngalakukeun sadayana ieu salami istirahat siang anjeun salami hiji atanapi dua jam pikeun ningkatkeun pangaweruh kaamanan inpormasi anjeun. Éta ogé cara anu saé pikeun ngartos kumaha peretas ngalangkungan perimeter kaamanan éksternal anjeun sareng asup kana sistem anjeun.
Pangatur IT anu nganggap yén aranjeunna parantos ngawangun pertahanan anu teu tiasa ditembus ngalawan gangguan naon waé sigana ogé bakal mendakan pendidikan - nyaéta, upami anjeun tiasa ngayakinkeun aranjeunna calik sareng anjeun cukup lila.
Hayu urang balik deui ka kanyataan
Sapertos anu kuring ngarepkeun, hack nyata, teu katingali ku pangguna rata-rata, ngan saukur variasi naon anu ku kuring dijelaskeun. Pikeun ngumpulkeun bahan pikeun publikasi salajengna, Kuring mimiti néangan sampel dina HA anu hade dina cara nu sarua salaku conto nimukeun kuring. Sareng kuring henteu kedah milarian lami - aya seueur pilihan pikeun téknik serangan anu sami dina situs éta.
The malware ahirna kuring kapanggih dina HA éta hiji Aksara VBA nu ieu study dina dokumen Word. Nyaéta, kuring henteu kedah ngapalkeun ekstensi doc, malware ieu leres-leres dokumen Microsoft Word anu katingali normal. Mun anjeun resep, Kuring milih sampel ieu disebut .
Kuring gancang diajar yén anjeun sering teu tiasa langsung narik skrip VBA jahat tina dokumen. Peretas ngompres sareng nyumputkeunana supados henteu katingali dina alat makro anu diwangun dina Word. Anjeun bakal peryogi alat husus pikeun nyabut eta. Kabeneran kuring mendakan scanner Frank Baldwin. Hatur nuhun, Frank.
Ngagunakeun alat ieu, kuring bisa narik kaluar kode VBA kacida obfuscated. Éta katingali sapertos kieu:
Obfuscation ieu dipigawé ku professional dina widang maranéhanana. Kuring éta impressed!
Attackers bener alus dina obfuscating kode, teu kawas usaha kuring dina nyieun Evil.doc. Oké, dina bagian salajengna urang bakal nyandak kaluar VBA debuggers kami, teuleum saeutik deeper kana kode ieu tur dibandingkeun analisis urang jeung hasil HA.
sumber: www.habr.com