Makala haya ni sehemu ya mfululizo wa Fileless Malware. Sehemu zingine zote za safu:
- Matukio ya Programu hasidi Isiyoweza Kupatikana, Sehemu ya II: Hati za VBA Zilizofichwa (tuko hapa)
Mimi ni shabiki wa tovuti (uchambuzi wa mseto, hapo baadae HA). Hii ni aina ya zoo zisizo ambapo unaweza kuona "wawindaji" wa mwitu kwa usalama kutoka umbali salama bila kushambuliwa. HA huendesha programu hasidi katika mazingira salama, hurekodi simu za mfumo, faili zilizoundwa na trafiki ya mtandao, na hukupa matokeo haya yote kwa kila sampuli inayochanganua. Kwa njia hii, huna kupoteza muda na nguvu zako kujaribu kutambua msimbo unaochanganya mwenyewe, lakini unaweza kuelewa mara moja nia zote za wadukuzi.
Mifano ya HA ambayo ilivutia umakini wangu hutumia hati za JavaScript zilizosimbwa au Visual Basic for Applications (VBA) zilizopachikwa kama makro katika hati za Word au Excel na kuambatishwa kwa barua pepe za hadaa. Inapofunguliwa, macros hizi huanza kipindi cha PowerShell kwenye kompyuta ya mwathirika. Wadukuzi kwa kawaida hutuma mtiririko uliosimbwa wa Base64 kwa PowerShell. Haya yote yanafanywa ili kufanya shambulio kuwa ngumu kugundua na vichungi vya wavuti na programu ya antivirus inayojibu maneno muhimu fulani.
Kwa bahati nzuri, HA husimbua kiotomatiki Base64 na kuonyesha kila kitu katika umbizo linalosomeka mara moja. Kimsingi, sio lazima uzingatie jinsi hati hizi zinavyofanya kazi kwa sababu utaweza kuona matokeo kamili ya amri kwa michakato inayoendelea katika sehemu inayolingana ya HA. Tazama mfano hapa chini:
Uchanganuzi mseto unakamata amri zilizosimbwa za Base64 zilizotumwa kwa PowerShell:
...na kisha kukusimbua. #kichawi
Π Niliunda kontena yangu ya JavaScript iliyofichwa kidogo ili kuendesha kipindi cha PowerShell. Hati yangu, kama programu hasidi nyingi za PowerShell, kisha hupakua hati ifuatayo ya PowerShell kutoka kwa tovuti ya mbali. Kisha, kama mfano, nilipakia PS isiyo na madhara ambayo ilichapisha ujumbe kwenye skrini. Lakini nyakati zinabadilika, na sasa ninapendekeza kugumu hali hiyo.
PowerShell Empire na Reverse Shell
Moja ya malengo ya zoezi hili ni kuonyesha jinsi (kiasi) kwa urahisi mdukuzi anaweza kupitisha ulinzi wa kawaida wa mzunguko na antivirus. Ikiwa mwanablogu wa IT asiye na ujuzi wa kupanga programu, kama mimi, anaweza kuifanya jioni kadhaa (haijatambuliwa kabisa, FUD), fikiria uwezo wa mdukuzi mdogo anayevutiwa na hili!
Na ikiwa wewe ni mtoa huduma wa usalama wa IT, lakini meneja wako hajui madhara yanayoweza kutokea kutokana na vitisho hivi, mwonyeshe tu makala haya.
Wadukuzi huota ndoto ya kupata ufikiaji wa moja kwa moja kwa kompyuta ndogo au seva ya mwathirika. Hili ni rahisi sana kufanya: anachohitaji kufanya mdukuzi ni kupata faili chache za siri kwenye kompyuta ndogo ya Mkurugenzi Mtendaji.
Kwa namna fulani mimi tayari kuhusu wakati wa utekelezaji wa baada ya utengenezaji wa Dola ya PowerShell. Hebu tukumbuke ni nini.
Kimsingi ni zana ya kupima kupenya kwa msingi wa PowerShell ambayo, kati ya vipengele vingine vingi, hukuruhusu kuendesha ganda la kinyume kwa urahisi. Unaweza kuisoma kwa undani zaidi kwenye .
Hebu tufanye jaribio kidogo. Niliweka mazingira salama ya majaribio ya programu hasidi katika wingu la Amazon Web Services. Unaweza kufuata mfano wangu ili kuonyesha haraka na kwa usalama mfano wa kufanya kazi wa udhaifu huu (na usifukuzwe kazi kwa kuendesha virusi ndani ya eneo la biashara).
Ukizindua koni ya Dola ya PowerShell, utaona kitu kama hiki:
Kwanza unaanza mchakato wa msikilizaji kwenye kompyuta yako ya hacker. Ingiza amri "msikilizaji", na ueleze anwani ya IP ya mfumo wako kwa kutumia "weka Seva". Kisha anza mchakato wa msikilizaji na amri ya "tekeleza" (chini). Kwa hivyo, kwa upande wako, utaanza kungojea unganisho la mtandao kutoka kwa ganda la mbali:
Kwa upande mwingine, utahitaji kutoa msimbo wa wakala kwa kuingiza amri ya "kizindua" (tazama hapa chini). Hii itazalisha msimbo wa PowerShell kwa wakala wa mbali. Kumbuka kuwa imesimbwa katika Base64, na inawakilisha awamu ya pili ya upakiaji. Kwa maneno mengine, msimbo wangu wa JavaScript sasa utamvuta wakala huyu kuendesha PowerShell badala ya kuchapisha maandishi bila hatia kwenye skrini, na kuunganisha kwenye seva yetu ya mbali ya PSE ili kuendesha ganda la nyuma.
Uchawi wa ganda la nyuma. Amri hii ya PowerShell iliyosimbwa itaunganishwa na msikilizaji wangu na kuzindua ganda la mbali.
Ili kukuonyesha jaribio hili, nilichukua jukumu la mhasiriwa asiye na hatia na kufungua Evil.doc, na hivyo kuzindua JavaScript yetu. Unakumbuka sehemu ya kwanza? PowerShell imesanidiwa ili kuzuia kidirisha chake kutokeza, kwa hivyo mwathirika hatatambua jambo lolote lisilo la kawaida. Hata hivyo, ukifungua Kidhibiti Kazi cha Windows, utaona mchakato wa mandharinyuma ya PowerShell ambao hata hivyo hautasababisha kengele yoyote kwa watu wengi. Kwa sababu ni PowerShell ya kawaida tu, sivyo?
Sasa unapoendesha Evil.doc, mchakato wa usuli uliofichwa utaunganishwa kwenye seva inayoendesha PowerShell Empire. Nikiwa nimevaa kofia yangu nyeupe ya hacker ya pentester, nilirudi kwenye dashibodi ya PowerShell Empire na sasa naona ujumbe kwamba wakala wangu wa mbali anatumika.
Kisha nikaingiza amri ya "kuingiliana" kufungua ganda katika PSE - na hapo nilikuwa! Kwa kifupi, nilidukua seva ya Taco ambayo niliiweka mwenyewe mara moja.
Nilichoonyesha hivi punde hakihitaji kazi nyingi kwa upande wako. Unaweza kufanya haya yote kwa urahisi wakati wa mapumziko yako ya mchana kwa saa moja au mbili ili kuboresha maarifa yako ya usalama wa maelezo. Pia ni njia nzuri ya kuelewa jinsi wavamizi wanavyopita eneo lako la usalama wa nje na kuingia ndani ya mifumo yako.
Wasimamizi wa TEHAMA ambao wanafikiri wamejenga ulinzi usioweza kupenyeka dhidi ya uvamizi wowote pengine pia wataipata kuwa ya kuelimisha - yaani, ikiwa unaweza kuwashawishi kuketi nawe kwa muda wa kutosha.
Turudi kwenye ukweli
Kama nilivyotarajia, utapeli wa kweli, usioonekana kwa mtumiaji wa kawaida, ni tofauti tu ya kile nilichoelezea hivi punde. Ili kukusanya nyenzo za uchapishaji unaofuata, nilianza kutafuta sampuli kwenye HA inayofanya kazi kwa njia sawa na mfano wangu niliobuni. Na sikulazimika kuitafuta kwa muda mrefu - kuna chaguzi nyingi za mbinu kama hiyo ya kushambulia kwenye wavuti.
Programu hasidi ambayo mwishowe nilipata kwenye HA ilikuwa hati ya VBA ambayo ilipachikwa kwenye hati ya Neno. Hiyo ni, sihitaji hata kughushi kiendelezi cha hati, programu hasidi ni hati ya kawaida ya Microsoft Word. Ikiwa una nia, nilichagua sampuli hii inayoitwa .
Nilijifunza haraka kuwa mara nyingi huwezi kuvuta hati mbovu za VBA kutoka kwa hati. Wadukuzi huwabana na kuwaficha ili zisionekane kwenye zana kuu za Word zilizojengewa ndani. Utahitaji chombo maalum ili kuiondoa. Kwa bahati nzuri nilikutana na scanner Frank Baldwin. Asante, Frank.
Kwa kutumia zana hii, niliweza kutoa msimbo wa VBA uliofichwa sana. Ilionekana kitu kama hiki:
Udanganyifu huo ulifanywa na wataalamu katika uwanja wao. Nilivutiwa!
Wavamizi ni wazuri sana katika kuficha msimbo, si kama juhudi zangu za kuunda Evil.doc. Sawa, katika sehemu inayofuata tutaondoa vitatuzi vyetu vya VBA, tuzame kwa undani zaidi msimbo huu na kulinganisha uchanganuzi wetu na matokeo ya HA.
Chanzo: mapenzi.com