本文是無文件惡意軟件系列的一部分。 該系列的所有其他部分:
- 神秘惡意軟體的冒險之旅(第二部分):隱密的 VBA 腳本(我們來了)
我是該網站的粉絲 (混合分析,以下簡稱HA)。這是一種惡意軟體動物園,您可以在安全距離內冷靜地觀察野生的“掠食者”,而不會受到攻擊。 HA 在安全環境中運行惡意軟體,記錄系統呼叫、建立的檔案和網路流量,並向您顯示每個分析樣本的所有這些結果。這樣,您就可以避免浪費時間和精力自己嘗試弄清楚令人困惑的程式碼,並立即了解所有駭客的意圖。
引起我注意的 HA 範例使用編碼的 JavaScript 或 Visual Basic for Applications (VBA) 腳本作為巨集嵌入到 Word 或 Excel 文件中並附加到網路釣魚電子郵件中。開啟後,這些巨集會在受害者的電腦上啟動 PowerShell 會話。駭客通常會向 PowerShell 發送 Base64 編碼的命令流。這樣做是為了讓攻擊難以被對某些關鍵字做出反應的網路過濾器和防毒軟體偵測到。
幸運的是,HA 會自動解碼 Base64 並立即以可讀的形式顯示所有內容。基本上,您不需要關注這些腳本如何運作,因為您將能夠在相應的 HA 部分中看到正在啟動的進程的完整命令輸出。請參閱下面的範例:
混合分析攔截發送到PowerShell的Base64編碼命令:
....然後為您解碼。 #神奇地
В 我創建了自己的稍微混淆的 JavaScript 容器來執行 PowerShell 會話。然後,我的腳本像許多基於 PowerShell 的惡意軟體一樣,從遠端網站下載以下 PowerShell 腳本。然後,作為示例,我加載了一個無害的 PS,它在螢幕上列印了一條訊息。但時代在變,現在我建議讓情況變得更複雜。
PowerShell Empire 和反向 Shell
這次演習的目標之一是展示駭客如何(相對)輕鬆地繞過傳統的外圍防禦和防毒軟體。如果像我這樣沒有程式設計技能的 IT 部落客可以在幾個晚上完成 (完全未被發現,FUD),想像一下對此感興趣的年輕駭客的可能性!
如果您是負責 IT 安全的人員,但您的經理不了解這些威脅的潛在後果,請向他展示這篇文章。
駭客夢想直接存取受害者的筆記型電腦或伺服器。這很容易做到:駭客只需獲取 CEO 筆記型電腦上的幾個機密文件。
不知何故我已經 關於 PowerShell Empire 後利用執行階段。讓我們記住它是什麼。
它本質上是一個基於 PowerShell 的滲透測試工具,除其他許多功能外,它還允許您輕鬆運行反向 shell。您可以在以下位置進行更詳細的研究 .
讓我們來做一個小實驗。我在 Amazon Web Services 雲端建立了一個安全的惡意軟體測試環境。您可以按照我的範例快速且安全地演示此漏洞的工作範例(並且不會因在企業邊界內發射病毒而被解僱)。
如果您啟動 PowerShell Empire 控制台,您將看到以下內容:
首先,在駭客電腦上啟動監聽器程序。輸入指令“listener”,並使用“set Host”指定係統的 IP 位址。然後使用“執行”命令(如下)啟動監聽器進程。這樣,您將開始等待來自您這邊遠端 shell 的網路連線:
另一方面,您需要透過輸入“啟動器”命令來產生代理代碼(請參閱下文)。這將為遠端代理程式產生 PowerShell 程式碼。請注意,它是 Base64 編碼的,代表有效載荷的第二階段。換句話說,我的 JavaScript 程式碼現在將引入此代理程式來啟動 PowerShell,而不是無害地將文字輸出到螢幕上,並連接到我們的遠端 PSE 伺服器來啟動反向 shell。
反向shell的魔力。這個編碼的 PowerShell 命令將連接到我的監聽器並啟動遠端 shell。
Чтобы показать вам этот эксперимент, я взял на себя роль невинной жертвы и открыл Evil.doc, тем самым запустив наш JavaScript. Помните первую часть? PowerShell был настроен так, чтобы его окно не всплывало, поэтому жертва не заметит ничего необычного. Тем не менее, если вы откроете Диспетчер задач Windows, вы увидите фоновый процесс PowerShell, который все равно у большинства не вызовет никакой тревоги. Потому что это обычный PowerShell, не правда ли?
現在,每當您執行 Evil.doc 時,隱藏的背景程序都會連接到執行 PowerShell Empire 的伺服器。戴上白帽子後,我回到 PowerShell Empire 控制台,現在看到一條訊息,表明我的遠端代理處於活動狀態。
然後我輸入命令“interact”在 PSE 中打開一個 shell - 現在我在這裡!長話短說,不久前我入侵了我自己建立的 Taco 伺服器。
我剛才示範的內容不需要你做太多工作。您可以在午休時間一兩個小時內輕鬆完成所有這些工作,以提高您的資訊安全知識。這也是了解駭客如何繞過外部安全邊界防禦並秘密進入您的系統的絕佳方法。
那些認為自己已經建立了堅不可摧的防禦來抵禦任何入侵的 IT 經理可能也會發現這很有教育意義 - 也就是說,如果你能說服他們和你坐在一起足夠長的時間。
讓我們回到現實
正如我所料,普通用戶看不到的真正的駭客攻擊只是我剛才描述的變體。為了收集下一本出版物的資料,我開始尋找一個與我所想的例子以相同方式工作的 HA 樣本。我不需要花很長時間去尋找——網站上就有許多類似攻擊技術的變體。
我最終在 HA 上發現的惡意軟體是嵌入在 Word 文件中的 VBA 腳本。也就是說,我甚至不需要偽造 doc 副檔名,這個惡意軟體其實只是一個普通的 Microsoft Word 文件。如果你有興趣的話,我選擇了這個樣本,叫做 .
我很快就了解到,您通常無法直接從文件中提取惡意 VBA 腳本。駭客壓縮並隱藏它們,以便它們在 Word 的內建巨集工具中不可見。您將需要一個特殊的工具來移除。幸運的是,我遇到了一台掃描儀 弗蘭克鮑德溫。謝謝你,弗蘭克。
使用這個工具,我能夠提取一些非常令人困惑的 VBA 程式碼。他看起來是這樣的:
混淆工作是由專業人員完成的。我印象深刻!
攻擊者非常擅長混淆程式碼,這與我創建 Evil.doc 的努力不同。好的,在下一部分中,我們將使用 VBA 偵錯器,更深入地研究此程式碼,並將我們的分析與 HA 結果進行比較。
來源: www.habr.com
