ఈ కథనం ఫైల్లెస్ మాల్వేర్ సిరీస్లో భాగం. సిరీస్లోని అన్ని ఇతర భాగాలు:
- ఎలుసివ్ మాల్వేర్ అడ్వెంచర్స్, పార్ట్ II: హిడెన్ VBA స్క్రిప్ట్స్ (మేము ఇక్కడ ఉన్నాము)
నేను సైట్ యొక్క అభిమానిని (హైబ్రిడ్ విశ్లేషణ, ఇకపై HA). ఇది ఒక రకమైన మాల్వేర్ జంతుప్రదర్శనశాల, ఇక్కడ మీరు దాడి చేయకుండా సురక్షితమైన దూరం నుండి అడవి "ప్రెడేటర్లను" సురక్షితంగా గమనించవచ్చు. HA సురక్షిత పరిసరాలలో మాల్వేర్ను అమలు చేస్తుంది, సిస్టమ్ కాల్లను రికార్డ్ చేస్తుంది, సృష్టించిన ఫైల్లు మరియు ఇంటర్నెట్ ట్రాఫిక్ను రికార్డ్ చేస్తుంది మరియు ఇది విశ్లేషించే ప్రతి నమూనా కోసం ఈ ఫలితాలను మీకు అందిస్తుంది. ఈ విధంగా, మీరు గందరగోళంగా ఉన్న కోడ్ను గుర్తించడానికి మీ సమయాన్ని మరియు శక్తిని వృథా చేయనవసరం లేదు, కానీ హ్యాకర్ల ఉద్దేశాలను వెంటనే అర్థం చేసుకోవచ్చు.
నా దృష్టిని ఆకర్షించిన HA ఉదాహరణలు వర్డ్ లేదా ఎక్సెల్ డాక్యుమెంట్లలో మాక్రోలుగా పొందుపరచబడిన మరియు ఫిషింగ్ ఇమెయిల్లకు జోడించబడిన కోడ్ చేయబడిన జావాస్క్రిప్ట్ లేదా అప్లికేషన్స్ కోసం విజువల్ బేసిక్ (VBA) స్క్రిప్ట్లను ఉపయోగిస్తాయి. తెరిచినప్పుడు, ఈ మాక్రోలు బాధితుడి కంప్యూటర్లో పవర్షెల్ సెషన్ను ప్రారంభిస్తాయి. హ్యాకర్లు సాధారణంగా Base64 ఎన్కోడ్ చేసిన స్ట్రీమ్ ఆఫ్ కమాండ్లను PowerShellకి పంపుతారు. నిర్దిష్ట కీలకపదాలకు ప్రతిస్పందించే వెబ్ ఫిల్టర్లు మరియు యాంటీవైరస్ సాఫ్ట్వేర్ ద్వారా దాడిని గుర్తించడం కష్టతరం చేయడానికి ఇదంతా జరుగుతుంది.
అదృష్టవశాత్తూ, HA స్వయంచాలకంగా Base64ని డీకోడ్ చేస్తుంది మరియు వెంటనే చదవగలిగే ఆకృతిలో ప్రతిదీ ప్రదర్శిస్తుంది. ముఖ్యంగా, మీరు ఈ స్క్రిప్ట్లు ఎలా పని చేస్తాయనే దానిపై దృష్టి పెట్టాల్సిన అవసరం లేదు, ఎందుకంటే మీరు HA యొక్క సంబంధిత విభాగంలో నడుస్తున్న ప్రక్రియల కోసం పూర్తి కమాండ్ అవుట్పుట్ను చూడగలరు. దిగువ ఉదాహరణ చూడండి:
పవర్షెల్కు పంపబడిన Base64 ఎన్కోడ్ చేసిన ఆదేశాలను హైబ్రిడ్ విశ్లేషణ అడ్డుకుంటుంది:
... ఆపై వాటిని మీ కోసం డీకోడ్ చేస్తుంది. #అద్భుతంగా
В పవర్షెల్ సెషన్ను అమలు చేయడానికి నేను నా స్వంత కొంచెం అస్పష్టమైన జావాస్క్రిప్ట్ కంటైనర్ను సృష్టించాను. నా స్క్రిప్ట్, అనేక PowerShell-ఆధారిత మాల్వేర్ లాగా, రిమోట్ వెబ్సైట్ నుండి క్రింది PowerShell స్క్రిప్ట్ను డౌన్లోడ్ చేస్తుంది. అప్పుడు, ఉదాహరణగా, నేను స్క్రీన్పై సందేశాన్ని ముద్రించిన హానిచేయని PSని లోడ్ చేసాను. కానీ సమయాలు మారుతున్నాయి మరియు ఇప్పుడు నేను దృష్టాంతాన్ని క్లిష్టతరం చేయాలని ప్రతిపాదించాను.
పవర్షెల్ సామ్రాజ్యం మరియు రివర్స్ షెల్
క్లాసిక్ చుట్టుకొలత రక్షణలు మరియు యాంటీవైరస్లను హ్యాకర్ ఎలా (సాపేక్షంగా) సులభంగా దాటవేయగలరో చూపించడం ఈ వ్యాయామం యొక్క లక్ష్యాలలో ఒకటి. ప్రోగ్రామింగ్ స్కిల్స్ లేని IT బ్లాగర్, నా లాంటి, ఒక రెండు సాయంత్రాల్లో దీన్ని చేయగలరు (పూర్తిగా గుర్తించబడలేదు, FUD), దీనిపై ఆసక్తి ఉన్న యువ హ్యాకర్ యొక్క సామర్థ్యాలను ఊహించుకోండి!
మరియు మీరు IT సెక్యూరిటీ ప్రొవైడర్ అయితే, మీ మేనేజర్కి ఈ బెదిరింపుల వల్ల కలిగే పరిణామాల గురించి తెలియకపోతే, అతనికి ఈ కథనాన్ని చూపించండి.
హ్యాకర్లు బాధితుల ల్యాప్టాప్ లేదా సర్వర్కు నేరుగా యాక్సెస్ పొందాలని కలలు కంటారు. దీన్ని చేయడం చాలా సులభం: హ్యాకర్ చేయాల్సిందల్లా CEO ల్యాప్టాప్లో కొన్ని రహస్య ఫైల్లను పొందడం.
ఏదో ఒకవిధంగా నేను ఇప్పటికే పవర్షెల్ ఎంపైర్ పోస్ట్-ప్రొడక్షన్ రన్టైమ్ గురించి. అది ఏమిటో గుర్తు చేసుకుందాం.
ఇది తప్పనిసరిగా పవర్షెల్-ఆధారిత చొచ్చుకుపోయే పరీక్ష సాధనం, ఇది అనేక ఇతర లక్షణాలతో పాటు, రివర్స్ షెల్ను సులభంగా అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. మీరు దీన్ని మరింత వివరంగా అధ్యయనం చేయవచ్చు .
ఒక చిన్న ప్రయోగం చేద్దాం. నేను Amazon Web Services క్లౌడ్లో సురక్షితమైన మాల్వేర్ పరీక్ష వాతావరణాన్ని సెటప్ చేసాను. ఈ దుర్బలత్వానికి పని చేసే ఉదాహరణను త్వరగా మరియు సురక్షితంగా చూపించడానికి మీరు నా ఉదాహరణను అనుసరించవచ్చు (మరియు ఎంటర్ప్రైజ్ చుట్టుకొలత లోపల వైరస్లను అమలు చేసినందుకు తొలగించబడదు).
మీరు పవర్షెల్ ఎంపైర్ కన్సోల్ను ప్రారంభించినట్లయితే, మీరు ఇలాంటివి చూస్తారు:
ముందుగా మీరు మీ హ్యాకర్ కంప్యూటర్లో వినేవారు ప్రక్రియను ప్రారంభించండి. "వినేవాడు" ఆదేశాన్ని నమోదు చేయండి మరియు "సెట్ హోస్ట్" ఉపయోగించి మీ సిస్టమ్ యొక్క IP చిరునామాను పేర్కొనండి. ఆపై "ఎగ్జిక్యూట్" కమాండ్ (క్రింద)తో శ్రోత ప్రక్రియను ప్రారంభించండి. అందువలన, మీ వంతుగా, మీరు రిమోట్ షెల్ నుండి నెట్వర్క్ కనెక్షన్ కోసం వేచి ఉండటం ప్రారంభిస్తారు:
మరొక వైపు, మీరు "లాంచర్" ఆదేశాన్ని నమోదు చేయడం ద్వారా ఏజెంట్ కోడ్ను రూపొందించాలి (క్రింద చూడండి). ఇది రిమోట్ ఏజెంట్ కోసం PowerShell కోడ్ని రూపొందిస్తుంది. ఇది Base64లో ఎన్కోడ్ చేయబడిందని మరియు పేలోడ్ యొక్క రెండవ దశను సూచిస్తుందని గమనించండి. మరో మాటలో చెప్పాలంటే, నా జావాస్క్రిప్ట్ కోడ్ ఇప్పుడు ఈ ఏజెంట్ను పవర్షెల్ని అమలు చేయడానికి బదులుగా స్క్రీన్పై టెక్స్ట్ను హానిచేయకుండా ప్రింట్ చేయడానికి లాగుతుంది మరియు రివర్స్ షెల్ను అమలు చేయడానికి మా రిమోట్ PSE సర్వర్కి కనెక్ట్ చేస్తుంది.
రివర్స్ షెల్ యొక్క మేజిక్. ఈ కోడ్ చేయబడిన PowerShell ఆదేశం నా శ్రోతకి కనెక్ట్ అవుతుంది మరియు రిమోట్ షెల్ను లాంచ్ చేస్తుంది.
ఈ ప్రయోగాన్ని మీకు చూపించడానికి, నేను అమాయక బాధితుడి పాత్రను పోషించాను మరియు Evil.docని ప్రారంభించాను, తద్వారా మా JavaScriptని ప్రారంభించాను. మొదటి భాగం గుర్తుందా? పవర్షెల్ దాని విండో కనిపించకుండా నిరోధించడానికి కాన్ఫిగర్ చేయబడింది, కాబట్టి బాధితుడు అసాధారణంగా ఏమీ గమనించడు. అయినప్పటికీ, మీరు విండోస్ టాస్క్ మేనేజర్ని తెరిస్తే, మీరు బ్యాక్గ్రౌండ్ పవర్షెల్ ప్రాసెస్ని చూస్తారు, అది ఏమైనప్పటికీ చాలా మందికి అలారం కలిగించదు. ఎందుకంటే ఇది సాధారణ పవర్షెల్, కాదా?
ఇప్పుడు మీరు Evil.docని అమలు చేసినప్పుడు, దాచిన నేపథ్య ప్రక్రియ PowerShell Empire నడుస్తున్న సర్వర్కి కనెక్ట్ అవుతుంది. నా వైట్ పెంటెస్టర్ హ్యాకర్ టోపీని ధరించి, నేను పవర్షెల్ ఎంపైర్ కన్సోల్కి తిరిగి వచ్చాను మరియు ఇప్పుడు నా రిమోట్ ఏజెంట్ యాక్టివ్గా ఉన్నట్లు మెసేజ్ వచ్చింది.
నేను PSEలో షెల్ తెరవడానికి "ఇంటరాక్టు" కమాండ్ను నమోదు చేసాను - మరియు నేను ఉన్నాను! సంక్షిప్తంగా, నేను ఒకసారి సెటప్ చేసిన టాకో సర్వర్ని హ్యాక్ చేసాను.
నేను ఇప్పుడే ప్రదర్శించిన దానికి మీ వంతుగా అంత పని అవసరం లేదు. మీ సమాచార భద్రతా పరిజ్ఞానాన్ని మెరుగుపరచుకోవడానికి మీరు ఒకటి లేదా రెండు గంటల పాటు మీ భోజన విరామ సమయంలో ఇవన్నీ సులభంగా చేయవచ్చు. హ్యాకర్లు మీ బాహ్య భద్రతా చుట్టుకొలతను ఎలా దాటవేస్తున్నారో మరియు మీ సిస్టమ్లలోకి ఎలా ప్రవేశిస్తున్నారో అర్థం చేసుకోవడానికి ఇది గొప్ప మార్గం.
ఏదైనా చొరబాట్లకు వ్యతిరేకంగా తాము అభేద్యమైన రక్షణను నిర్మించుకున్నామని భావించే IT నిర్వాహకులు బహుశా దానిని విద్యాపరంగా కూడా కనుగొంటారు - అంటే, మీతో ఎక్కువసేపు కూర్చునేలా మీరు వారిని ఒప్పించగలిగితే.
రియాలిటీకి తిరిగి వద్దాం
నేను ఊహించినట్లుగా, సగటు వినియోగదారుకు కనిపించని నిజమైన హాక్ అనేది నేను వివరించిన దాని యొక్క వైవిధ్యం. తదుపరి ప్రచురణ కోసం మెటీరియల్ని సేకరించడానికి, నేను కనుగొన్న ఉదాహరణ వలె పని చేసే HAలో నమూనా కోసం వెతకడం ప్రారంభించాను. మరియు నేను దాని కోసం ఎక్కువసేపు వెతకవలసిన అవసరం లేదు - సైట్లో ఇలాంటి దాడి సాంకేతికత కోసం చాలా ఎంపికలు ఉన్నాయి.
నేను చివరికి HAలో కనుగొన్న మాల్వేర్ VBA స్క్రిప్ట్, అది వర్డ్ డాక్యుమెంట్లో పొందుపరచబడింది. అంటే, నేను డాక్ ఎక్స్టెన్షన్ను నకిలీ చేయాల్సిన అవసరం లేదు, ఈ మాల్వేర్ నిజంగా సాధారణంగా కనిపించే మైక్రోసాఫ్ట్ వర్డ్ డాక్యుమెంట్. మీకు ఆసక్తి ఉంటే, నేను ఈ నమూనాను ఎంచుకున్నాను .
మీరు తరచుగా డాక్యుమెంట్ నుండి హానికరమైన VBA స్క్రిప్ట్లను నేరుగా లాగలేరని నేను త్వరగా తెలుసుకున్నాను. హ్యాకర్లు వాటిని కంప్రెస్ చేసి దాచిపెడతారు కాబట్టి అవి Word యొక్క అంతర్నిర్మిత మాక్రో టూల్స్లో కనిపించవు. దీన్ని తొలగించడానికి మీకు ప్రత్యేక సాధనం అవసరం. అదృష్టవశాత్తూ నేను స్కానర్ని చూశాను ఫ్రాంక్ బాల్డ్విన్. ధన్యవాదాలు, ఫ్రాంక్.
ఈ సాధనాన్ని ఉపయోగించి, నేను చాలా అస్పష్టంగా ఉన్న VBA కోడ్ను బయటకు తీయగలిగాను. ఇది ఇలా కనిపించింది:
అస్పష్టత వారి రంగంలోని నిపుణులు చేసారు. నేను ఆకట్టుకున్నాను!
దాడి చేసేవారు కోడ్ను అస్పష్టం చేయడంలో మంచివారు, Evil.docని రూపొందించడంలో నా ప్రయత్నాల వలె కాదు. సరే, తర్వాతి భాగంలో మేము మా VBA డీబగ్గర్లను తీసుకుంటాము, ఈ కోడ్లో కొంచెం లోతుగా డైవ్ చేసి, మా విశ్లేషణను HA ఫలితాలతో సరిపోల్చండి.
మూలం: www.habr.com