مغامرات المراوغ مالفاري ، الجزء الثالث: نصوص VBA المعقدة للضحك والربح

هذا المقال جزء من سلسلة Fileless Malware. جميع أجزاء السلسلة الأخرى:

• مغامرات المراوغ مالفاري ، الجزء الأول
• مغامرات بعيد المنال مالفاري ، الجزء الثاني: نصوص VBA السرية
• مغامرات المراوغ مالفاري ، الجزء الثالث: نصوص VBA المعقدة للضحك والربح (نحن هنا)

في آخر وظيفتين ( هنا وهنا ) تحدثنا عن طرق الهجوم الخالية من الملفات ، ولكن غير مؤذية تمامًا. الآن نحن مستعدون أخيرًا لمواجهة البرمجيات الخبيثة التي لا مبرر لها. يعد موقع التحليل المختلط (المشار إليه فيما يلي باسم HA) أحد الموارد التي أعتمد عليها للعثور على هذه "المخلوقات" الضارة. كقاعدة عامة ، المعلومات التي توفرها HA لكل عينة: مكالمات النظام ، حركة مرور الإنترنت ، إلخ. - يكفي لتلبية الاحتياجات الأمنية التقليدية لتكنولوجيا المعلومات. لقد انجذبت بقوة إلى الانغماس في واحدة من هذه العينات رمز مربكة للغاية لمعرفة ما يجري حقا هناك.

إذا كنت تريد أن تكرر بعدي ، فنوصيك بذلك في صندوق الحماية ، على سبيل المثال ، في Amazon Web Services. وإذا حددت هذا على جهاز الكمبيوتر الخاص بك ، فتأكد من تعليق مكالمات النظام التي تقوم بتشغيل PowerShell.

داخل رمز VBA مربكا

البرامج الضارة التي عثر عليها أخيرًا على موقع التحليل المختلط عبارة عن برنامج نصي VBA تم تضمينه في مستند Word. كما ذكرت في المرة الأخيرة ، ستحتاج إلى OfficeMalScanner من فرانك بالدوين لرؤية الكود الفعلي.
بعد استخراج البرنامج النصي ، قمت بتحميل الرمز في مكتبة الماكرو MS Word ، ثم أطلقت تصحيح الأخطاء خطوة بخطوة باستخدام المصحح المدمج. كان هدفي هو فهم أفضل لما كان مخفيًا وراء التشويش: لعب تحليلات البكالوريا الدولية وتجربة النجاحات والإحباطات المرتبطة بهذا العمل.

إذا قررت ، مثلي ، أولاً القيام بذلك في مصحح الأخطاء ، فعلى الأرجح ستشرب أكثر من كوب واحد من الشاي (أو القهوة) ، في طريقك من خلال رمز معقد بشكل مذهل أو مراقبة ، يومض ، في المتغير L_JEK ، الذي تم تعيين السطر "77767E6C797A6F6" .
من خلال العمل باستخدام هذا البرنامج النصي المربك لـ VBA ، أدركت أن جزءًا صغيرًا جدًا منه يقوم بعمل مفيد. معظم الكود موجود فقط لتضليلك.
في النهاية ، التقطت لقطة شاشة لجزء صغير من الكود الذي يقوم بكل الأعمال الشريرة لبدء سطر أوامر PowerShell ، والذي يتم تشغيله في النهاية على شكل ماكرو VBA.

صعبة: فقط تأخذ القيمة السداسية وطرح 7 ل ASCII الحقيقي.

انها بسيطة جدا. يحتوي رمز VBA في العديد من المتغيرات على سجل لسطر الأوامر النهائي بترميز سداسي عشري ، ثم يحوله ببساطة إلى سلسلة أحرف. كانت "الخدعة" الوحيدة هنا هي أن القيم السداسية عشرية تم إزاحتها بواسطة 0x07. على سبيل المثال ، على سبيل المثال ، يتم الحصول على الجزء الأول من السلسلة السداسية عشرية من L_JEK ، الذي تم تعيينه القيمة "77767E6C797A6F6". إذا أخذت 0x77 وطرح 0x07 ، فستحصل على hex 0x70. افعل نفس الشيء مع 0x76 وستحصل على ست عشري 0x6F. انظر إليهم في أي جدول رموز ASCII ، وسترى أنه يتطابق مع أول حرفين من "powerhell".

في الواقع ، هذا ليس أصعب التشابك ، لكن هذا ليس مطلوبًا! كل ما عليك فعله هو تخطي الماسحات الضوئية المضادة للفيروسات بحثًا عن كلمات رئيسية محددة أو تمثيلاتها في شكل سلاسل ASCII. أن هذه العينة جيدة بما فيه الكفاية ويفعل. أخيرًا ، بعد إعادة إنشاء البرنامج النصي لسطر الأوامر ، يتم تشغيله من خلال دالة CreateProcess (انظر أدناه):

التعليق على مكالمات النظام أو تعيين نقطة توقف أمامهم.

فكر في الأمر لثانية واحدة. تم إرسال مستند Word إلى موظف في رسالة بريد إلكتروني للتصيد الاحتيالي. عند فتح مستند ، يبدأ برنامج VBA النصي هذا تلقائيًا جلسة PowerShell لبدء المرحلة التالية من الهجوم. لا توجد ملفات قابلة للتنفيذ ، والبرامج النصية المعكوسة بالخجل بهدوء بعيدا عن مكافحة الفيروسات وغيرها من الماسحات الضوئية.

ومن هنا الشر!

من أجل الفضول ، قمت بتنزيل ماكرو آخر من موقع HA (أدناه) لمعرفة ما يحدث. هذا الكود الثاني يفعل نفس الشيء كما هو مذكور أعلاه.

رمز سري جزءا لا يتجزأ من VBA.

ولكن بعد ذلك ، يعد هذا الرمز أكثر إبداعًا في طريقة استعادة سطر الأوامر. هناك وظيفة فك ترميز تسمى "d" تقوم بتصفية الأحرف من السلسلة الأساسية ، بمقارنتها بسلسلة التحكم الثانية. هذه بالفعل فكرة عن مستوى المدرسة الثانوية ، وهي تقوم أيضًا بعمل ممتاز: إنها تتهرب بسهولة من الماسحات الضوئية ومديري الحيل الذين ينظرون لفترة وجيزة فقط إلى سجلات لإجراءات غير عادية.

المحطة التالية

في سلسلة منشوراتي الأولى حول التعتيم ، أوضحت أن سجل أحداث Windows يسجل الكثير من التفاصيل من جلسات PowerShell ، أي إذا مكّنت الإعدادات المناسبة من إجراء تحليل متعمق بعد وقوع القرصنة .

بالطبع ، يحتوي هذا أيضًا على تعقيد معين للهجمات الخالية من الملفات ، لأنه يكاد يكون من المستحيل تحديد ما إذا كان البرنامج النصي PowerShell يقوم بعمل سيئ عن طريق التحقق ببساطة من الأوامر هناك أثناء عرض أحداث سجل الأمان.

لماذا تسأل؟

نظرًا لأن جلسات PowerShell تبدأ في كل وقت ، ويمكن إطلاق تعليمات برمجية ضارة من جلسة PowerShell من أحد المتطفلين في الوقت نفسه ككود شرعي من مسؤول IT الجيد. إذا تلقيت إعلامات في كل مرة يقوم فيها البرنامج النصي بتنزيل شيء من الإنترنت ، فسيتم إنشاء عدد كبير من الإيجابيات الخاطئة.

يمكن استخلاص الاستنتاج على النحو التالي: نرى عدم قدرة أدوات الدفاع المحيطي التقليدية على وقف مثل هذه الهجمات ، ورسائل البريد الإلكتروني والتصيد والبرامج الضارة FUD ، واحتمالات كبيرة لتحليلات السلوكية .

باختصار ، هذه معركة خاسرة متعمدة تحاول منع المتسللين من الدخول إلى المحيط. تتمثل أفضل استراتيجية في تحديد الوصول غير المعتاد والمشكوك فيه إلى الملفات وإطلاق التطبيقات ، ثم الرد عليها من خلال إلغاء تنشيط الحسابات أو اتخاذ إجراء آخر ردًا على أي انتهاك.

في الجزء التالي ، سننظر في أنواع أكثر تقدماً من الهجمات الخالية من الملفات.