द एलूसिव माल्वारी के एडवेंचर्स, भाग III: हंसी और लाभ के लिए जटिल VBA लिपियों

यह लेख फिललेस मालवेयर सीरीज का हिस्सा है। श्रृंखला के अन्य सभी भाग:

• द एडवेंचर्स ऑफ़ द एलूसिव माल्वारी, भाग I
• द एलूसिव माल्वारी का एडवेंचर्स, भाग II: गुप्त VBA लिपियों
• द एलूसिव माल्वारी के एडवेंचर्स, भाग III: हँसी और लाभ के लिए जटिल VBA लिपियों (हम यहाँ हैं)

पिछले दो पदों ( यहां और यहां ) में हमने फ़ाइल-मुक्त, लेकिन काफी हानिरहित हमले के तरीकों के बारे में बात की थी। अब हम अंत में एक असली फिल्महीन मैलवेयर लेने के लिए तैयार हैं। एक हाइब्रिड विश्लेषण साइट (इसके बाद एचए के रूप में संदर्भित) एक संसाधन है जिसे मैं इन दुर्भावनापूर्ण "प्राणियों" को खोजने के लिए भरोसा करता हूं। एक नियम के रूप में, जानकारी जो प्रत्येक नमूने के लिए HA प्रदान करती है: सिस्टम कॉल, इंटरनेट ट्रैफ़िक, आदि। - विशिष्ट आईटी सुरक्षा जरूरतों को पूरा करने के लिए पर्याप्त है। मैं वास्तव में इन भ्रामक कोड नमूनों में से एक में डुबकी लगाने के लिए तैयार हूं, यह देखने के लिए कि वास्तव में वहां क्या चल रहा है।

यदि आप मेरे बाद दोहराना चाहते हैं, तो मेरा सुझाव है कि आप सैंडबॉक्स में ऐसा करें, उदाहरण के लिए, अमेज़ॅन वेब सेवाओं में। और यदि आप इसे अपने कंप्यूटर पर चेक करते हैं, तो PowerShell लॉन्च करने वाले सिस्टम कॉल्स के बारे में टिप्पणी करना सुनिश्चित करें।

भ्रामक VBA कोड के अंदर

मैलवेयर जो मैंने अंततः हाइब्रिड विश्लेषण साइट पर पाया वह एक VBA स्क्रिप्ट है जो Word दस्तावेज़ में एम्बेड किया गया था। जैसा कि मैंने पिछली बार उल्लेख किया था, आपको वास्तविक कोड देखने के लिए फ्रैंक बाल्डविन के ऑफिसमल्कनर की आवश्यकता होगी।
स्क्रिप्ट को निकालने के बाद, मैंने एमएस वर्ड मैक्रो लाइब्रेरी में कोड लोड किया, और फिर निर्मित डीबगर का उपयोग करके इसके चरण-दर-चरण डीबगिंग को लॉन्च किया। मेरा लक्ष्य बेहतर ढंग से समझना था कि ओफिसकेशन के पीछे क्या छिपा था: आईबी एनालिटिक्स खेलना और इस काम से जुड़ी सफलताओं और निराशाओं का अनुभव करना।

यदि आप, मेरी तरह, पहले डिबगर में ऐसा करने का फैसला किया है, तो सबसे अधिक संभावना है कि आप एक से अधिक कप चाय (या कॉफी) पीएंगे, एक मन उड़ाने वाले जटिल कोड के माध्यम से अपना रास्ता बना रहे हैं या चर LJEK पर अवलोकन कर रहे हैं, जो लाइन "77767E6C797A6F6" को सौंपा गया है। ।
इस भ्रामक वीबीए स्क्रिप्ट के साथ काम करते हुए, मैंने महसूस किया कि इसका केवल बहुत छोटा हिस्सा उपयोगी काम करता है। अधिकांश कोड आपको भटकाने के लिए है।
अंत में, मैंने कोड के एक छोटे से हिस्से का स्क्रीनशॉट लिया, जो कि PowerShell कमांड लाइन शुरू करने के सभी बुरे काम करता है, जो अंततः VBA मैक्रो के रूप में चलता है।

मुश्किल: बस हेक्स मान लें और वास्तविक ASCII के लिए 7 घटाएं।

यह बहुत सरल है। VBA कोड में कई चर हेक्साडेसिमल नोटेशन में अंतिम कमांड लाइन का रिकॉर्ड होता है, और फिर इसे केवल एक वर्ण स्ट्रिंग में परिवर्तित करता है। यहां केवल "चाल" यह था कि हेक्साडेसिमल मान 0x07 द्वारा ऑफसेट किए गए थे। इसलिए, उदाहरण के लिए, हेक्साडेसिमल स्ट्रिंग का पहला भाग L_JEK से प्राप्त किया जाता है, जिसे "77767E6C797A6F6" मान दिया गया था। यदि आप 0x77 लेते हैं और 0x07 घटाते हैं, तो आपको हेक्स 0x70 मिलता है। 0x76 के लिए भी यही करें और आपको हेक्स 0x6F मिलता है। उन्हें किसी भी ASCII कोड तालिका में देखें, और आप देखेंगे कि यह "शक्तियां" के पहले दो अक्षरों से मेल खाता है।

वास्तव में, यह सबसे कठिन उलझाव नहीं है, लेकिन इसकी आवश्यकता नहीं है! आपको बस इतना करना है कि विशिष्ट एंटीवायरस या ASCII स्ट्रिंग्स के रूप में उनके अभ्यावेदन के लिए पिछले एंटीवायरस स्कैनर को छोड़ दें। यह नमूना काफी अच्छा है और करता है। अंत में, स्क्रिप्ट कमांड लाइन को फिर से बनाने के बाद, इसे CreateProcess फ़ंक्शन (नीचे देखें) के माध्यम से चलाता है:

सिस्टम कॉल को कमेंट करें या उनके सामने एक ब्रेकपॉइंट सेट करें।

एक सेकंड के लिए इसके बारे में सोचो। एक शब्द दस्तावेज़ एक फ़िशिंग ईमेल में एक कर्मचारी को भेजा गया था। जब कोई दस्तावेज़ खोला जाता है, तो यह VBA स्क्रिप्ट स्वचालित रूप से हमले के अगले चरण को शुरू करने के लिए एक PowerShell सत्र शुरू करता है। कोई निष्पादन योग्य फाइलें, और अस्पष्ट स्क्रिप्ट चुपचाप एंटीवायरस और अन्य स्कैनर से दूर नहीं हटती हैं।

यहाँ यह बुराई है!

जिज्ञासा के लिए, मैंने हा साइट (नीचे) से एक और मैक्रो डाउनलोड किया, यह देखने के लिए कि और क्या होता है। यह दूसरा कोड मोटे तौर पर ऊपर वाले की तरह ही काम करता है।

गुप्त कोड VBA में एम्बेडेड है।

लेकिन फिर यह कोड कमांड लाइन को पुनर्स्थापित करने के तरीके में थोड़ा अधिक आविष्कारशील है। एक डीकोडिंग फ़ंक्शन है जिसे "डी" कहा जाता है जो बेस स्ट्रिंग से वर्णों को फ़िल्टर करता है, उनकी तुलना दूसरे नियंत्रण स्ट्रिंग से करता है। यह पहले से ही एक हाई स्कूल स्तर का एक विचार है, और यह एक उत्कृष्ट काम भी करता है: यह आसानी से स्कैनर और ट्रिक प्रवेश को चकमा देता है जो केवल असामान्य क्रियाओं के लिए लॉग को देखते हैं।

अगला पड़ाव

आक्षेप पर प्रकाशनों की मेरी पहली श्रृंखला में , मैंने दिखाया कि विंडोज इवेंट लॉग पॉवरशेल सत्रों से बहुत सारे विवरण रिकॉर्ड करता है, अर्थात, यदि आप हैकिंग के तथ्य के बाद उचित सेटिंग्स को गहराई से विश्लेषण करने में सक्षम होने में सक्षम करते हैं।

बेशक, इसमें फ़ाइल-फ्री हमलों की एक निश्चित जटिलता भी है, क्योंकि यह निर्धारित करना लगभग असंभव है कि पावर लॉग की सुरक्षा लॉग इवेंट देखने के दौरान पावरशेल स्क्रिप्ट केवल आदेशों की जांच करके कुछ बुरा कर रही है या नहीं।

क्यों, आप पूछें?

क्योंकि PowerShell सत्र हर समय शुरू होते हैं, और किसी एकल हैकर से PowerShell सत्र से दुर्भावनापूर्ण कोड उसी समय लॉन्च किया जा सकता है, जब PowerShell अच्छे IT व्यवस्थापक से वैध कोड प्राप्त होता है। यदि आपको पीएस-स्क्रिप्ट इंटरनेट से कुछ डाउनलोड करने के लिए हर बार सूचनाएं मिलती हैं, तो बहुत सारे झूठे-सकारात्मक उत्पन्न होंगे।

निष्कर्ष निम्न प्रकार से निकाला जा सकता है: हम ऐसे हमलों, फ़िशिंग ईमेल और FUD मैलवेयर, और व्यवहार विश्लेषण के लिए महान संभावनाओं को रोकने के लिए पारंपरिक परिधि रक्षा उपकरणों की अक्षमता देखते हैं।

संक्षेप में, यह एक जानबूझकर हारने वाली लड़ाई है जो हैकर्स को परिधि के अंदर जाने से रोकने की कोशिश कर रही है। सबसे अच्छी रणनीति फाइलों और लॉन्च अनुप्रयोगों के लिए असामान्य और संदिग्ध पहुंच की पहचान करना है, और फिर खातों को निष्क्रिय करने या उल्लंघन के जवाब में एक और उपाय करके उन्हें जवाब देना है।

अगले भाग में, हम अधिक उन्नत प्रकार के फ़ाइल-फ्री हमलों को देखेंगे।