هذا المقال جزء من سلسلة Fileless Malware. جميع أجزاء السلسلة الأخرى:
أنا معجب بموقع
التحليل المختلط (HA). هذا هو نوع من حديقة الحيوانات الخبيثة حيث يمكنك مشاهدة "الحيوانات المفترسة" البرية بأمان من مسافة آمنة دون التعرض للهجوم. تقوم HA بإطلاق البرامج الضارة في البيئات الآمنة ، ومكالمات نظام السجلات ، والملفات التي تم إنشاؤها ، وحركة المرور على الإنترنت ، وتعرض كل هذه النتائج لكل عينة تقوم بتحليلها. وبالتالي ، لا يمكنك أن تضيع وقتك وطاقتك بنفسك في حل الكود المحير ، ولكن على الفور فهم جميع نوايا المتسللين.
تستخدم أمثلة HA التي لفتت انتباهي إما برامج جافا سكريبت المشفرة أو Visual Basic للتطبيقات (VBA) المضمنة في صورة وحدات ماكرو في مستندات Word أو Excel ومرفقة برسائل البريد الإلكتروني المخادعة. عند الفتح ، تبدأ وحدات الماكرو هذه في جلسة PowerShell على كمبيوتر الضحية. عادةً ما يقوم المتسللون بإرسال تدفقات الأوامر المرمزة Base64 إلى PowerShell. يتم كل ذلك لتجعل من الصعب اكتشاف الهجوم باستخدام مرشحات الويب وبرامج مكافحة الفيروسات التي تستجيب لكلمات رئيسية محددة.
لحسن الحظ ، يقوم HA تلقائيًا بترميز Base64 وإظهار كل شيء على الفور في شكل مقروء. بشكل أساسي ، لا تحتاج إلى التركيز على كيفية عمل هذه النصوص ، لأنه يمكنك رؤية المخرجات الكاملة للأوامر لتشغيل العمليات في قسم HA المقابل. انظر مثال أدناه:
التحليل الهجين يعترض Base64 الأوامر المشفرة المرسلة إلى PowerShell:
... ثم فك شفرة لهم لك. # بطريقة سحرية
في
منشور سابق ، قمت بإنشاء حاوية جافا سكريبت الخاصة بي المظلمة قليلاً لبدء جلسة PowerShell. ثم يقوم البرنامج النصي الخاص بي ، مثل العديد من البرامج الضارة المستندة إلى PowerShell ، بتنزيل البرنامج النصي التالي لـ PowerShell من موقع ويب بعيد. بعد ذلك ، على سبيل المثال ، قمت بتنزيل ملف PS غير ضار يقوم بطباعة رسالة على الشاشة. لكن الأوقات تتغير ، والآن أقترح تعقيد السيناريو.
بوويرشيل الإمبراطورية وعكس شل
يتمثل أحد أهداف هذا التمرين في إظهار كيف يمكن بسهولة (نسبيًا) للقراصنة الالتفاف حول الدفاعات المحيطة التقليدية ومضادات الفيروسات. إذا كان بإمكان مدون لتكنولوجيا المعلومات دون مهارات برمجية مثلي
إنشاء برامج ضارة غير مكتشفة بالكامل في أمسيات ، فتخيل إمكانيات قراصنة صغار مهتمين بهذا!
وإذا كنت شخصًا يوفر أمانًا لتكنولوجيا المعلومات ، لكن مديرك لا يعلم بالنتائج المحتملة لهذه التهديدات ، فما عليك سوى عرض هذا المقال عليه.
يحلم المتسللون بالوصول المباشر إلى كمبيوتر محمول أو خادم الضحية. من السهل جدًا القيام بذلك: كل احتياجات المتسللين هي الحصول على بعض الملفات السرية على كمبيوتر المدير التنفيذي.
بطريقة ما
كتبت بالفعل عن وقت التشغيل PowerShell Empire بعد التشغيل. دعونا نتذكر ما هو عليه.
في جوهرها ، إنها أداة لاختبار الاختراق تعتمد على PowerShell والتي ، من بين العديد من الميزات الأخرى ، تجعل من السهل تشغيل غلاف عكسي. يمكنك معرفة المزيد عن ذلك على
الصفحة الرئيسية لـ PSE .
دعونا نفعل تجربة صغيرة. قمت بإعداد بيئة آمنة لاختبار البرمجيات الضارة في سحابة Amazon Web Services. يمكنك اتباع مثالي لإظهار مثال سريع وآمن لمثل هذه الثغرة الأمنية (وعدم إطلاقه لإطلاق الفيروسات داخل محيط المؤسسة).
إذا بدأت تشغيل وحدة PowerShell Empire ، فسترى شيئًا مما يلي:
أولاً ، يمكنك بدء عملية المستمع على جهاز الكمبيوتر الخاص بك المتطفل. أدخل أمر "listener" ، وحدد عنوان IP لنظامك باستخدام "set host". ثم ابدأ عملية الاستماع مع أمر التنفيذ (أدناه). وبالتالي ، من جانبك ، ابدأ في انتظار اتصال الشبكة من الغلاف البعيد:
بالنسبة إلى الجانب الآخر ، ستحتاج إلى إنشاء رمز الوكيل عن طريق إدخال أمر المشغل (انظر أدناه). سيؤدي هذا إلى إنشاء رمز PowerShell للعامل البعيد. لاحظ أنه تم ترميزه في Base64 ، ويمثل المرحلة الثانية من الحمولة النافعة. بمعنى آخر ، فإن كود JavaScript الخاص بي يسحب الآن هذا العامل لتشغيل PowerShell بدلاً من إخراج نص غير ضار إلى الشاشة ويتصل بخادم PSE البعيد لتشغيل الصدفة العكسية.
سحر قذيفة العكسي. سيقوم هذا الأمر PowerShell المشفر بالاتصال بمستمعي وبدء تشغيل جهاز التحكم عن بُعد.لتظهر لك هذه التجربة ، أخذت دور الضحية البريئة وفتحت Evil.doc ، وبالتالي أطلقت JavaScript. تذكر الجزء الأول؟ تم تكوين PowerShell بحيث لا يظهر الإطار الخاص به ، لذا لن يلاحظ الضحية أي شيء غير عادي. ومع ذلك ، إذا قمت بفتح "إدارة مهام Windows" ، فستشاهد عملية خلفية PowerShell ، والتي لن تتسبب في أي إنذار بالنسبة لمعظم الأشخاص. لأنه PowerShell منتظم ، أليس كذلك؟
الآن ، عند تشغيل Evil.doc ، ستتصل عملية خلفية مخفية بالخادم باستخدام PowerShell Empire. بعد أن وضعت على القبعة البيضاء لمخترق الهاكر ، عدت إلى وحدة التحكم في PowerShell Empire ، والآن أرى رسالة مفادها أن عميلي البعيد نشط.
ثم دخلت أمر "تفاعل" لفتح shell في PSE - وأنا هنا! باختصار ، اخترقت خادم Taco ، الذي أنشأته بنفسي مرة واحدة.
ما أوضحته للتو لا يتطلب الكثير من العمل منك. يمكنك القيام بكل ذلك بأمان لقضاء استراحة غداء لمدة ساعة إلى ساعتين لتحسين معرفتك بأمان المعلومات. إنها أيضًا طريقة رائعة لفهم كيف يتحايل المتسللون على حماية محيط الأمان الخارجي وينتشرون سراً على أنظمتك.
من المحتمل أن يجد مدراء تقنية المعلومات الذين يعتقدون أنهم بنوا حماية غير قابلة للتدمير ضد أي تغلغل ، معلومات مفيدة - حسناً ، إذا ، بالطبع ، يمكنك إقناعهم بالجلوس بجوارك لفترة طويلة.
العودة إلى الواقع
كما كنت أتوقع ، الاختراق الحقيقي غير المرئي للمستخدم العادي هو مجرد اختلاف عما وصفته للتو. لجمع مواد للنشر التالي ، بدأت في البحث عن عينة على HA تعمل بنفس طريقة مثالي الذي اخترعه. ولم أضطر إلى البحث عنه لفترة طويلة - يحتوي الموقع على العديد من الخيارات لتقنية الهجوم هذه.
البرامج الضارة التي انتهى بها الأمر إلى العثور على HA هي البرنامج النصي \ VBA الذي تم تضمينه في مستند Word. أي أنني لست بحاجة حتى إلى تزييف ملحق doc ، فهذه البرامج الضارة هي في الواقع أكثر مستندات Microsoft Word شيوعًا. إذا كنت مهتمًا ، فقد اخترت هذه العينة ، والتي تسمى
rfq.doc .
اكتشفت بسرعة أنه غالبًا ما لن تتمكن من استخراج نصوص VBA الضارة مباشرةً من مستند. يقوم المتسللون بضغطها وإخفائها ، ولن تكون مرئية في أدوات الماكرو المضمنة في Word. ستحتاج إلى أداة خاصة لاستخراجها. لحسن الحظ ، صادفت
OfficeMalScanner فرانك بالدوين. شكرا لك ، فرانك.
باستخدام هذه الأداة ، تمكنت من سحب رمز VBA مربكًا للغاية. بدا الأمر مثل هذا:
تم الغموض من قبل المتخصصين. لقد تأثرت!المهاجمون جيدون حقًا في تجاوز الشفرة ، وليس مثل جهودي في إنشاء Evil.doc. حسنًا ، حسنًا ، في الجزء التالي ، سنحصل على مصححات VBA الخاصة بنا ، ونذهب قليلاً إلى هذا الرمز ونقارن تحليلنا بنتائج HA.