本文是无文件恶意软件系列的一部分。 该系列的所有其他部分:
我是
混合分析网站(HA)的粉丝。 这是一种恶意软件动物园,您可以在安全的距离内安全地观看野生“捕食者”而不会受到攻击。 HA在安全的环境中启动恶意软件,记录系统调用,生成的文件和Internet流量,并针对您分析的每个样本显示所有这些结果。 因此,您不能自己解决混乱的代码而浪费时间和精力,而应立即了解黑客的所有意图。
引起我注意的HA示例使用JavaScript编码或Visual Basic for Applications(VBA)脚本,这些脚本作为宏嵌入在Word或Excel文档中,并附加到网络钓鱼电子邮件中。 打开后,这些宏会在受害者的计算机上启动PowerShell会话。 黑客通常将Base64编码的命令流发送到PowerShell。 这样做都是为了使攻击者难以通过响应特定关键字的Web筛选器和防病毒软件检测到攻击。
幸运的是,HA会自动解码Base64并立即以可读形式显示所有内容。 本质上,您不需要关注这些脚本的工作方式,因为您可以在相应的HA部分中看到用于运行进程的命令的完整输出。 请参阅以下示例:
混合分析拦截发送给PowerShell的Base64编码命令:
...然后为您解码。 #神奇地
在上一篇
文章中,我创建了自己的稍微模糊的JavaScript容器来启动PowerShell会话。 然后,我的脚本像许多基于PowerShell的恶意软件一样,从远程网站下载以下PowerShell脚本。 然后,作为示例,我下载了一个无害的PS,在屏幕上打印一条消息。 但是时代在变化,现在我建议使情况复杂化。
PowerShell Empire和反向外壳
该练习的目的之一是说明黑客如何(相对)轻松地绕过经典的外围防御和防病毒软件。 如果没有像我这样的编程技能的IT博客作者可以在几个晚上
创建完全未检测到的(FUD)
恶意软件 ,请想象一下对此感兴趣的年轻黑客的可能性!
并且,如果您是提供IT安全性的人员,但是您的经理不知道这些威胁可能造成的后果,请向他展示此文章。
黑客们梦想着能够直接访问笔记本电脑或受害者的服务器。 这样做非常简单:黑客的所有需求就是在CEO的笔记本电脑上获取一些机密文件。
我已经以某种方式
撰写了有关运行后的PowerShell Empire运行时的文章。 让我们记住它是什么。
本质上,它是基于PowerShell的渗透测试工具,除其他许多功能外,还使运行反向Shell变得容易。 您可以
在PSE主页上了解更多信息。
让我们做一个小实验。 我在Amazon Web Services云中设置了安全的恶意软件测试环境。 您可以按照我的示例快速安全地显示此漏洞的有效示例(并且不会因在企业范围内启动病毒而被解雇)。
如果启动PowerShell Empire控制台,则会看到类似以下内容的内容:
首先,您在黑客计算机上启动侦听器进程。 输入“ listener”命令,然后使用“ set Host”指定系统的IP地址。 然后使用execute命令(下面)启动侦听器进程。 因此,就您而言,开始等待来自远程外壳程序的网络连接:
另一方面,您将需要通过输入启动器命令来生成代理代码(请参见下文)。 这将为远程代理生成PowerShell代码。 请注意,它是在Base64中编码的,表示有效负载的第二阶段。 换句话说,我的JavaScript代码现在将拉该代理以运行PowerShell,而不是将无害的文本输出到屏幕并连接到我们的远程PSE服务器以运行反向Shell。
反向外壳的魔力。 此已编码的PowerShell命令将连接到我的侦听器并启动远程Shell。为了向您展示该实验,我扮演了一个无辜的受害者的角色,并打开Evil.doc,从而启动了我们的JavaScript。 还记得第一部分吗? 已配置PowerShell,以便不会弹出其窗口,因此受害者不会注意到任何异常情况。 但是,如果打开Windows任务管理器,则将看到PowerShell后台进程,但大多数情况下仍不会引起任何警报。 因为它是常规的PowerShell,不是吗?
现在,当您运行Evil.doc时,一个隐藏的后台进程将使用PowerShell Empire连接到服务器。 戴上黑客-彭斯特的白帽子之后,我回到了PowerShell Empire控制台,现在我看到一条消息,说我的远程代理处于活动状态。
然后,我输入了“ interact”命令以在PSE中打开外壳程序-我就在这里! 简而言之,我入侵了我自己设置的Taco服务器。
我刚才演示的内容不需要您做太多的工作。 您可以安全地在午餐时间进行一到两个小时的所有这些操作,以提高对信息安全的了解。 这也是了解黑客如何规避外部安全范围保护并秘密部署在您的系统上的好方法。
相信他们建立了坚不可摧的防御能力以抵御任何渗透的IT经理可能会发现它提供了很多信息-当然,如果您可以说服他们长期坐在您旁边。
回到现实
如我所料,普通用户看不到的真正hack只是我刚才描述的一种变体。 为了收集下一份出版物的资料,我开始在HA上寻找一个示例,该示例的工作方式与我的示例相同。 而且,我不必长时间寻找它-该站点提供了许多针对这种攻击技术的选择。
我最终在HA上发现的恶意软件是Word文档中内置的\ VBA脚本。 也就是说,我什至无需伪造doc扩展名,该恶意软件确实是最常见的Microsoft Word文档。 如果您有兴趣,那么我选择了一个名为
rfq.doc的示例。
我很快发现,通常您将无法直接从文档中提取恶意VBA脚本。 黑客会压缩并隐藏它们,并且它们在Word的内置宏工具中不可见。 您将需要一个特殊的工具来提取它。 幸运的是,我遇到了Frank Baldwin的
OfficeMalScanner 。 谢谢,弗兰克。
使用该工具,我能够提取出非常混乱的VBA代码。 它看起来像这样:
混淆是由专业人员完成的。 我印象深刻!攻击者确实擅长弄乱代码,不像我在创建Evil.doc时所做的努力。 好吧,好的,在下一部分中,我们将获得VBA调试器,对代码进行更深入的比较,并将我们的分析结果与HA结果进行比较。