Met hierdie artikel begin ons 'n reeks publikasies oor ontwykende wanware. Inbraakprogramme wat geen spoor van 'n aanval laat nie, ook bekend as lêerloos ("onliggaamlik", onsigbaar, lêerloos), gebruik gewoonlik PowerShell op Windows-stelsels om geheime opdragte uit te voer om waardevolle inhoud te soek en te onttrek. Om hackeraktiwiteit op te spoor sonder kwaadwillige lêers is 'n moeilike taak. antivirusse en baie ander opsporingstelsels werk op die basis van handtekeninganalise. Maar die goeie nuus is dat sulke sagteware wel bestaan. Byvoorbeeld, , wat in staat is om kwaadwillige aktiwiteite in lêerstelsels op te spoor.
Toe ek die eerste keer oor cool hackers begin leer het, , maar net die gereedskap en sagteware wat op die slagoffer se rekenaar beskikbaar is, het ek geen idee gehad dat dit binnekort 'n gewilde aanvalsmetode sou word nie. Sekuriteitspersoneel dat dit 'n neiging word, en - bevestiging hiervan. Daarom het ek besluit om 'n reeks publikasies oor hierdie onderwerp te maak.
Die Groot en Verskriklike PowerShell
Ek het al voorheen oor sommige van hierdie idees geskryf in , maar meer vanuit 'n teoretiese oogpunt. Later het ek afgekom , waar jy voorbeelde van malware kan vind wat in die natuur "gevang" is. Ek het besluit om hierdie webwerf te probeer gebruik om lêerlose malware-monsters te vind. En ek het daarin geslaag. Terloops, as jy op jou eie wanware-snuffelekspedisie wil gaan, sal jy met hierdie webwerf moet kyk om hulle te laat weet jy doen wit hoedwerk. As 'n blogger wat oor sekuriteit skryf, het ek dit sonder twyfel geslaag. Ek is seker jy kan ook.
Benewens die voorbeelde self, kan u op die webwerf sien wat hierdie programme doen. Hibriede analise voer wanware in sy eie sandbox en monitor stelseloproepe, lopende prosesse en netwerkaktiwiteite, en onttrek verdagte teksstringe. Vir binaries en ander uitvoerbares, d.w.s. waar jy nie eens na die werklike hoëvlakkode kan kyk nie, besluit hibriede analise of die sagteware kwaadwillig of net verdag is op grond van sy looptydaktiwiteit. En daarna is die steekproef reeds geëvalueer.
In die geval van PowerShell en ander voorbeeldskrifte (Visual Basic, JavaScript, ens.), kon ek die kode self sien. Ek het byvoorbeeld op hierdie PowerShell-instansie afgekom:
Jy kan ook base64-gekodeerde PowerShell laat loop om opsporing te vermy. Let op die gebruik van die Nie-interaktiewe en Versteekte opsies.
As jy my verduistering plasings gelees het, dan weet jy dat die -e opsie aandui dat die inhoud base64 geënkodeer is. Terloops, hibriede analise help ook hiermee, om alles terug te dekodeer. As jy self wil probeer om base64 PowerShell (hierna - PS) te dekodeer, moet jy hierdie opdrag uitvoer:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))delf dieper
Ek het ons PS-skrip met hierdie metode gedekodeer, hieronder is die teks van die program, hoewel effens deur my gewysig:
Let daarop dat die skrif op 4 September 2017 gestel is en sessiekoekies deurgegee het.
Ek het oor hierdie styl van aanval geskryf in , waarin die base64-gekodeerde skrip self laai vermis wanware vanaf 'n ander webwerf, deur die WebClient-voorwerp van die .Net Framework-biblioteek te gebruik om al die harde werk te doen.
Waarvoor is dit?
Vir sekuriteitsagteware wat Windows- of firewall-gebeurtenisloglêers skandeer, verhoed base64-kodering dat die gewone tekspatroonstring "WebClient" opgespoor word om teen so 'n webversoek te beskerm. En aangesien al die "bose" wanware dan afgelaai en na ons PowerShell oorgedra word, stel hierdie benadering ons dus in staat om opsporing heeltemal te ontduik. Eintlik is dit wat ek eers gedink het.
Dit blyk dat met Windows PowerShell gevorderde logboek geaktiveer (sien my artikel), sal jy die gelaaide string in die gebeurtenislogboek kan sien. ek is soos ) Ek dink dat Microsoft hierdie vlak van aanteken by verstek moet aktiveer. Daarom, met uitgebreide aantekening geaktiveer, sal ons in die Windows-gebeurtenislogboek die voltooide aflaaiversoek vanaf die PS-skrip sien volgens die voorbeeld wat ons hierbo ontleed het. Daarom maak dit sin om dit te aktiveer, stem saam?
Voeg meer skrifte by
Kuberkrakers steek 'n PowerShell-aanval slim weg in Microsoft Office-makro's wat in Visual Basic en ander skriftale geskryf is. Die idee is dat die slagoffer 'n boodskap ontvang, byvoorbeeld van 'n afleweringsdiens, met 'n aangehegte verslag in .doc-formaat. U maak hierdie dokument oop, wat die makro bevat, en dit loop uiteindelik die kwaadwillige PowerShell self.
Dikwels word die Visual Basic-skrip self verduister sodat dit vryelik antivirusse en ander wanwareskandeerders ontduik. In die gees van bogenoemde het ek as 'n oefening besluit om bogenoemde PowerShell in JavaScript te kodeer. Hieronder is die resultate van my werk:
Verduisterde JavaScript wat ons PowerShell verberg. Regte hackers doen dit een of twee keer.
Dit is nog 'n tegniek wat ek op die web teëgekom het: die gebruik van Wscript.Shell om gekodeerde PowerShell uit te voer. Terloops, JavaScript self is wanware aflewering. Baie weergawes van Windows het 'n ingeboude , wat self JS kan laat loop.
In ons geval is die kwaadwillige JS-skrip geneste as 'n .doc.js-lêer. Windows sal gewoonlik net die eerste agtervoegsel wys, so dit sal as 'n Word-dokument aan die slagoffer verskyn.
Die JS-ikoon word slegs in die rol-ikoon gewys. Nie verrassend nie, baie mense sal hierdie aanhangsel oopmaak en dink dat dit 'n Word-dokument is.
In my voorbeeld het ek die PowerShell hierbo gewysig om die skrif van my webwerf af te laai. Die verwyderde PS-skrif druk net "Evil Malware". Soos jy kan sien, is hy glad nie boos nie. Natuurlik stel regte kuberkrakers daarin belang om toegang tot 'n skootrekenaar of bediener te verkry, byvoorbeeld deur 'n dopopdrag. In die volgende artikel sal ek jou wys hoe om dit te doen met PowerShell Empire.
Ek hoop dat ons vir die eerste inleidende artikel nie te diep in die onderwerp geduik het nie. Nou sal ek jou laat asemhaal, en volgende keer sal ons begin om werklike voorbeelde van aanvalle met lêerlose wanware te ontleed sonder onnodige bekendstellings en voorbereiding.
Bron: will.com