Ин мақола як қисми силсилаи нармафзори зараровар мебошад. Ҳамаи қисмҳои дигари силсила:
-
Саргузаштҳои Малварии дастнорас, Қисми I - Саргузаштҳои нармафзори зараровар, Қисми II: Скриптҳои пинҳонии VBA (мо дар ин ҷо ҳастем)
Ман як мухлиси сайт ҳастам
Намунаҳои HA, ки диққати маро ба худ ҷалб карданд, скриптҳои рамзшудаи JavaScript ё Visual Basic for Applications (VBA) -ро истифода мебаранд, ки ҳамчун макросҳо дар ҳуҷҷатҳои Word ё Excel ҷойгир карда шудаанд ва ба почтаи фишинг замима шудаанд. Вақте ки кушода мешавад, ин макросҳо сессияи PowerShell-ро дар компютери ҷабрдида оғоз мекунанд. Ҳакерҳо маъмулан ҷараёни фармонҳои кодшудаи Base64-ро ба PowerShell мефиристанд. Ин ҳама барои он анҷом дода мешавад, ки ҳамла тавассути филтрҳои веб ва нармафзори антивирус, ки ба калимаҳои калидӣ ҷавоб медиҳанд, душвор гардонад.
Хушбахтона, HA Base64-ро ба таври худкор рамзкушоӣ мекунад ва ҳама чизро фавран дар формати хондашаванда намоиш медиҳад. Аслан, ба шумо лозим нест, ки ба чӣ гуна кор кардани ин скриптҳо диққат диҳед, зеро шумо метавонед натиҷаи пурраи фармонро барои равандҳои иҷрошаванда дар бахши мувофиқи HA бубинед. Ба мисоли зер нигаред:
Таҳлили гибридӣ фармонҳои рамзгузоришудаи Base64-ро, ки ба PowerShell фиристода шудаанд, халалдор мекунад:
...ва он гоҳ онҳоро барои шумо рамзкушоӣ мекунад. #сеҳрнок
В
Империяи PowerShell ва Shell баръакс
Яке аз ҳадафҳои ин машқ нишон додани он аст, ки чӣ тавр (нисбатан) як ҳакер метавонад муҳофизати периметрии классикӣ ва антивирусҳоро убур кунад. Агар як блогнависи IT бе малакаи барномасозӣ, мисли ман, метавонад дар як ду шом ин корро анҷом диҳад
Ва агар шумо провайдери амнияти IT бошед, аммо мудири шумо аз оқибатҳои эҳтимолии ин таҳдидҳо огоҳ нест, танҳо ба ӯ ин мақоларо нишон диҳед.
Ҳакерҳо орзу мекунанд, ки дастрасии мустақим ба ноутбук ё сервери қурбонӣ шаванд. Иҷрои ин хеле содда аст: танҳо ба ҳакер лозим аст, ки чанд файли махфиро дар ноутбуки директори генералӣ гирад.
Ба ҳар ҳол ман аллакай
Он аслан як воситаи санҷиши воридшавӣ ба PowerShell аст, ки дар байни бисёр хусусиятҳои дигар ба шумо имкон медиҳад, ки қабати баръаксро ба осонӣ иҷро кунед. Шумо метавонед онро муфассалтар дар зер омӯзед
Биёед каме таҷриба кунем. Ман дар абри Amazon Web Services муҳити бехатари санҷиши нармафзори зараровар таъсис додам. Шумо метавонед ба мисоли ман пайравӣ кунед, то намунаи кории ин осебпазириро зуд ва бехатар нишон диҳед (ва барои кор кардани вирусҳо дар дохили периметри корхона аз кор ронда нашавед).
Агар шумо консоли PowerShell Empire -ро оғоз кунед, шумо чизе монанди ин хоҳед дид:
Аввал шумо раванди шунавандаро дар компютери ҳакерии худ оғоз мекунед. Фармони "шунаванда"-ро ворид кунед ва суроғаи IP-и системаи худро бо истифода аз "set Host" муайян кунед. Сипас раванди шунавандаро бо фармони "execute" оғоз кунед (дар поён). Ҳамин тариқ, аз ҷониби шумо, шумо интизори пайвасти шабакаро аз қабати дурдаст оғоз мекунед:
Барои тарафи дигар, ба шумо лозим меояд, ки рамзи агентро тавассути ворид кардани фармони "оғозкунанда" тавлид кунед (ба поён нигаред). Ин барои агенти дурдаст рамзи PowerShell тавлид мекунад. Аҳамият диҳед, ки он дар Base64 рамзгузорӣ шудааст ва марҳилаи дуюми бори пурборро ифода мекунад. Ба ибораи дигар, коди JavaScript-и ман акнун ин агентро ба кор даровардани PowerShell ба ҷои безарар чоп кардани матн дар экран мекашад ва ба сервери PSE дурдасти мо пайваст мешавад, то қабати баръаксро иҷро кунад.
Ҷодуи қабати баръакс. Ин фармони рамзи PowerShell ба шунавандаи ман пайваст мешавад ва ҷилди дурдастро оғоз мекунад.
Барои ба шумо нишон додани ин таҷриба, ман нақши қурбонии бегуноҳро ба ӯҳда гирифтам ва Evil.doc -ро кушодам ва ҳамин тавр JavaScript-и худро оғоз кардам. Қисми аввалро дар хотир доред? PowerShell барои пешгирӣ кардани пайдо шудани равзанаи он танзим шудааст, аз ин рӯ ҷабрдида ҳеҷ чизи ғайриоддиро пайхас намекунад. Аммо, агар шумо менеҷери Вазифаҳои Windows-ро кушоед, шумо раванди заминавии PowerShell-ро хоҳед дид, ки ба ҳар ҳол барои аксари одамон ҳушдор намедиҳад. Зеро он танҳо PowerShell муқаррарӣ аст, ҳамин тавр не?
Ҳоло вақте ки шумо Evil.doc-ро иҷро мекунед, раванди пасзаминаи пинҳонӣ ба сервери PowerShell Empire пайваст мешавад. Кулоҳи сафеди ҳакерии пентестери худро пӯшида, ман ба консоли PowerShell Empire баргаштам ва ҳоло паёмеро мебинам, ки агенти дурдасти ман фаъол аст.
Пас аз он ман фармони "ҳамкорӣ кардан" -ро барои кушодани снаряд дар PSE ворид кардам - ва дар он ҷо будам! Хулоса, ман сервери Taco-ро, ки як бор худам насб кардам, ҳакер кардам.
Он чизе, ки ман нишон додам, аз шумо ин қадар меҳнатро талаб намекунад. Шумо метавонед ин ҳамаро дар вақти танаффуси нисфирӯзӣ барои як ё ду соат ба осонӣ анҷом диҳед, то дониши амнияти иттилоотии худро такмил диҳед. Ин инчунин як роҳи олии фаҳмидани он аст, ки чӣ тавр ҳакерҳо периметри амнияти берунии шуморо убур мекунанд ва ба системаҳои шумо ворид мешаванд.
Менеҷерони IT, ки фикр мекунанд, ки онҳо бар зидди ҳама гуна ҳамлаҳо муҳофизати ногувор сохтаанд, эҳтимол онро таълимӣ хоҳанд дод - яъне агар шумо онҳоро бовар кунонед, ки бо шумо ба қадри кофӣ нишинанд.
Биёед ба воқеият баргардем
Тавре ки ман интизор будам, хаки воқеӣ, ки барои корбари оддӣ ноаён аст, танҳо як варианти он чизест, ки ман тавсиф кардам. Барои ҷамъоварии мавод барои нашри навбатӣ, ман ба ҷустуҷӯи намунаи HA шурӯъ кардам, ки ҳамон тавре ки намунаи ихтироъкардаи ман кор мекунад. Ва ба ман лозим набуд, ки онро муддати тӯлонӣ ҷустуҷӯ кунам - дар сайт имконоти зиёде барои як техникаи ҳамлаи шабеҳ мавҷуданд.
Нармафзори зарароваре, ки ман дар ниҳоят дар HA пайдо кардам, скрипти VBA буд, ки дар ҳуҷҷати Word ворид карда шуда буд. Яъне, ба ман ҳатто лозим нест, ки тамдиди ҳуҷҷатро қалбакӣ кунам, ин нармафзори зараровар воқеан як ҳуҷҷати муқаррарии Microsoft Word аст. Агар шумо таваҷҷӯҳ дошта бошед, ман ин намунаро интихоб кардам
Ман зуд фаҳмидам, ки шумо аксар вақт наметавонед бевосита скриптҳои VBA-ро аз ҳуҷҷат берун кашед. Ҳакерҳо онҳоро фишурда ва пинҳон мекунанд, то онҳо дар абзорҳои макросҳои дарунсохтаи Word намоён нашаванд. Барои бартараф кардани он ба шумо асбоби махсус лозим аст. Хушбахтона ман бо сканер дучор шудам
Бо истифода аз ин асбоб, ман тавонистам рамзи VBA-и хеле печидаро берун барорам. Чунин менамуд:
Мушкилот аз ҷониби мутахассисони соҳаи худ анҷом дода шуд. Ман мутаассир шудам!
Ҳамлагарон воқеан дар парешон кардани код хубанд, на мисли кӯшишҳои ман дар эҷоди Evil.doc. Хуб, дар қисми оянда мо ислоҳкунандагони VBA-и худро хориҷ мекунем, ба ин код каме амиқтар ворид мешавем ва таҳлили худро бо натиҷаҳои HA муқоиса мекунем.
Манбаъ: will.com