Ushbu maqola Faylsiz zararli dasturlar seriyasining bir qismidir. Seriyaning barcha boshqa qismlari:
- Zararli dasturning sarguzashtlari, II qism: Yashirin VBA skriptlari (biz shu yerdamiz)
Men sayt muxlisiman (gibrid tahlil, bundan keyin HA). Bu zararli dasturiy ta'minot hayvonot bog'ining bir turi bo'lib, siz yovvoyi "yirtqichlarni" xavfsiz masofadan hujumga uchramasdan kuzatishingiz mumkin. HA xavfsiz muhitda zararli dasturlarni ishga tushiradi, tizim qo'ng'iroqlarini, yaratilgan fayllarni va Internet-trafikni qayd qiladi va tahlil qilgan har bir namuna uchun barcha natijalarni beradi. Shunday qilib, chalkash kodni o'zingiz aniqlashga vaqt va kuchingizni sarflamasligingiz kerak, lekin xakerlarning barcha niyatlarini darhol tushunishingiz mumkin.
Mening e'tiborimni tortgan HA misollarida Word yoki Excel hujjatlariga makros sifatida kiritilgan va fishing elektron pochtalariga biriktirilgan kodlangan JavaScript yoki Visual Basic for Applications (VBA) skriptlaridan foydalaniladi. Ochilgach, ushbu makroslar jabrlanuvchining kompyuterida PowerShell seansini boshlaydi. Xakerlar odatda PowerShell-ga Base64 kodlangan buyruqlar oqimini yuboradilar. Bularning barchasi ma'lum kalit so'zlarga javob beradigan veb-filtrlar va antivirus dasturlari tomonidan hujumni aniqlashni qiyinlashtirish uchun qilingan.
Yaxshiyamki, HA Base64-ni avtomatik ravishda dekodlaydi va hamma narsani darhol o'qilishi mumkin bo'lgan formatda ko'rsatadi. Aslini olganda, siz ushbu skriptlar qanday ishlashiga e'tibor qaratishingiz shart emas, chunki siz HA ning tegishli bo'limida ishlaydigan jarayonlar uchun to'liq buyruq chiqishini ko'rishingiz mumkin. Quyidagi misolga qarang:
Gibrid tahlil PowerShell-ga yuborilgan Base64 kodlangan buyruqlarni to'xtatadi:
... va keyin ularni siz uchun dekodlaydi. #sehrli
В PowerShell seansini ishga tushirish uchun o'zimning biroz tushunarsiz JavaScript konteynerimni yaratdim. Mening skriptim, PowerShell-ga asoslangan ko'plab zararli dasturlar kabi, keyin quyidagi PowerShell skriptini masofaviy veb-saytdan yuklab oladi. Keyin, misol sifatida, men ekranda xabarni chop etadigan zararsiz PSni yukladim. Ammo vaqt o'zgarmoqda va endi men stsenariyni murakkablashtirishni taklif qilaman.
PowerShell imperiyasi va teskari qobiq
Ushbu mashqning maqsadlaridan biri xaker klassik perimetr himoyasi va antiviruslarni qanday qilib (nisbatan) osonlikcha chetlab o'tishini ko'rsatishdir. Menga o'xshab dasturlash qobiliyatiga ega bo'lmagan IT-blogger bir-ikki oqshomda qila olsa (to'liq aniqlanmagan, FUD), bunga qiziqqan yosh xakerning imkoniyatlarini tasavvur qiling!
Va agar siz IT xavfsizligi provayderi bo'lsangiz-u, lekin menejeringiz ushbu tahdidlarning mumkin bo'lgan oqibatlarini bilmasa, unga ushbu maqolani ko'rsating.
Xakerlar jabrlanuvchining noutbuki yoki serveriga bevosita kirishni orzu qiladi. Buni qilish juda oddiy: xakerga bosh direktorning noutbukida bir nechta maxfiy fayllarni olish kifoya.
Negadir men allaqachon PowerShell Empire ishlab chiqarishdan keyingi ish vaqti haqida. Keling, nima ekanligini eslaylik.
Bu, asosan, PowerShell-ga asoslangan penetratsiyani tekshirish vositasi bo'lib, u boshqa ko'plab xususiyatlar qatorida teskari qobiqni osongina ishga tushirishga imkon beradi. Siz uni batafsilroq o'rganishingiz mumkin .
Keling, bir oz tajriba qilaylik. Men Amazon Web Services bulutida xavfsiz zararli dasturlarni tekshirish muhitini o'rnatdim. Ushbu zaiflikning amaliy misolini tez va xavfsiz ko'rsatish uchun mening misolimga amal qilishingiz mumkin (va korporativ perimetr ichida viruslarni ishga tushirish uchun ishdan bo'shatilmaysiz).
Agar siz PowerShell Empire konsolini ishga tushirsangiz, shunga o'xshash narsani ko'rasiz:
Avval siz xaker kompyuteringizda tinglovchi jarayonini boshlaysiz. "Listener" buyrug'ini kiriting va "Set Host" yordamida tizimingizning IP manzilini belgilang. Keyin tinglovchi jarayonini "execute" buyrug'i bilan boshlang (pastda). Shunday qilib, siz masofaviy qobiqdan tarmoq ulanishini kutishni boshlaysiz:
Boshqa tomondan, siz "boshlovchi" buyrug'ini kiritish orqali agent kodini yaratishingiz kerak bo'ladi (pastga qarang). Bu masofaviy agent uchun PowerShell kodini yaratadi. E'tibor bering, u Base64 da kodlangan va foydali yukning ikkinchi bosqichini ifodalaydi. Boshqacha qilib aytganda, mening JavaScript kodim endi matnni ekranga zararsiz chop etish o‘rniga PowerShell-ni ishga tushirish uchun ushbu agentni tortib oladi va teskari qobiqni ishga tushirish uchun uzoq PSE serverimizga ulanadi.
Teskari qobiqning sehri. Ushbu kodlangan PowerShell buyrug'i mening tinglovchimga ulanadi va masofaviy qobiqni ishga tushiradi.
Sizga ushbu tajribani ko'rsatish uchun men begunoh qurbon rolini o'z zimmasiga oldim va Evil.doc ni ochdim va shu bilan JavaScript-ni ishga tushirdim. Birinchi qismni eslaysizmi? PowerShell o'z oynasi paydo bo'lishining oldini olish uchun sozlangan, shuning uchun jabrlanuvchi g'ayrioddiy narsani sezmaydi. Biroq, agar siz Windows Task Manager-ni ochsangiz, fonda PowerShell jarayonini ko'rasiz, bu ko'pchilik uchun hech qanday signal tug'dirmaydi. Chunki bu oddiy PowerShell, shunday emasmi?
Endi siz Evil.doc dasturini ishga tushirganingizda, yashirin fon jarayoni PowerShell Empire ishlayotgan serverga ulanadi. Oq pentester xaker shlyapamni kiyib, men PowerShell Empire konsoliga qaytdim va endi masofaviy agentim faol ekanligi haqidagi xabarni ko'raman.
Keyin men PSE-da qobiqni ochish uchun "o'zaro ta'sir qilish" buyrug'ini kiritdim - va men shu erda edim! Qisqasi, men bir marta o'zim o'rnatgan Taco serverini buzdim.
Men ko'rsatgan narsa sizdan unchalik ko'p mehnat talab qilmaydi. Axborot xavfsizligi bo'yicha bilimingizni oshirish uchun bularning barchasini bir yoki ikki soat davomida tushlik tanaffusida bemalol qilishingiz mumkin. Bu, shuningdek, xakerlar sizning tashqi xavfsizlik perimetringizni chetlab o'tib, tizimlaringizga qanday kirib borayotganini tushunishning ajoyib usuli.
Har qanday tajovuzdan o'tib bo'lmaydigan himoya qurdim deb o'ylaydigan IT-menejerlar, ehtimol, bu ta'lim uchun ham bo'lishi mumkin, ya'ni agar siz ularni siz bilan etarlicha uzoq o'tirishga ishontira olsangiz.
Keling, haqiqatga qaytaylik
Men kutganimdek, oddiy foydalanuvchi uchun ko'rinmaydigan haqiqiy buzg'unchilik men tasvirlagan narsaning o'zgarishidir. Keyingi nashr uchun material to'plash uchun men o'zim ixtiro qilgan misolim bilan bir xil ishlaydigan HA bo'yicha namunani qidira boshladim. Va men uni uzoq vaqt izlashim shart emas edi - saytda shunga o'xshash hujum texnikasi uchun ko'plab variantlar mavjud.
Oxir-oqibat HA da topilgan zararli dastur Word hujjatiga o'rnatilgan VBA skripti edi. Ya'ni, men doc kengaytmasini soxtalashtirishim shart emas, bu zararli dastur haqiqatan ham oddiy ko'rinishdagi Microsoft Word hujjatidir. Agar siz qiziqsangiz, men ushbu namunani tanladim .
Men tezda hujjatdan zararli VBA skriptlarini to'g'ridan-to'g'ri tortib ololmasligingizni tezda bilib oldim. Xakerlar ularni Word dasturining o'rnatilgan so'l vositalarida ko'rinmasligi uchun siqib chiqaradi va yashiradi. Uni olib tashlash uchun sizga maxsus vosita kerak bo'ladi. Yaxshiyamki, men skanerga duch keldim Frenk Bolduin. Rahmat, Frank.
Ushbu vositadan foydalanib, men juda tushunarsiz VBA kodini chiqara oldim. Bu shunday ko'rinardi:
Buzilish o'z sohasidagi professionallar tomonidan amalga oshirildi. Men hayratda qoldim!
Hujumchilar mening Evil.doc yaratishdagi harakatlarim kabi emas, balki kodni chalkashtirishda juda yaxshi. OK, keyingi qismda biz VBA tuzatuvchilarini chiqaramiz, ushbu kodga biroz chuqurroq kirib boramiz va tahlilimizni HA natijalari bilan taqqoslaymiz.
Manba: www.habr.com