Met hierdie artikel begin ons 'n reeks publikasies oor ontwykende wanware. Inbraakprogramme wat geen spoor van 'n aanval laat nie, ook bekend as lêerloos ("onliggaamlik", onsigbaar, lêerloos), gebruik gewoonlik PowerShell op Windows-stelsels om geheime opdragte uit te voer om waardevolle inhoud te soek en te onttrek. Om hackeraktiwiteit op te spoor sonder kwaadwillige lêers is 'n moeilike taak. antivirusse en baie ander opsporingstelsels werk op die basis van handtekeninganalise. Maar die goeie nuus is dat sulke sagteware wel bestaan. Byvoorbeeld,
Toe ek die eerste keer oor cool hackers begin leer het,
Die Groot en Verskriklike PowerShell
Ek het al voorheen oor sommige van hierdie idees geskryf in
Benewens die voorbeelde self, kan u op die webwerf sien wat hierdie programme doen. Hibriede analise voer wanware in sy eie sandbox en monitor stelseloproepe, lopende prosesse en netwerkaktiwiteite, en onttrek verdagte teksstringe. Vir binaries en ander uitvoerbares, d.w.s. waar jy nie eens na die werklike hoëvlakkode kan kyk nie, besluit hibriede analise of die sagteware kwaadwillig of net verdag is op grond van sy looptydaktiwiteit. En daarna is die steekproef reeds geëvalueer.
In die geval van PowerShell en ander voorbeeldskrifte (Visual Basic, JavaScript, ens.), kon ek die kode self sien. Ek het byvoorbeeld op hierdie PowerShell-instansie afgekom:
Jy kan ook base64-gekodeerde PowerShell laat loop om opsporing te vermy. Let op die gebruik van die Nie-interaktiewe en Versteekte opsies.
As jy my verduistering plasings gelees het, dan weet jy dat die -e opsie aandui dat die inhoud base64 geënkodeer is. Terloops, hibriede analise help ook hiermee, om alles terug te dekodeer. As jy self wil probeer om base64 PowerShell (hierna - PS) te dekodeer, moet jy hierdie opdrag uitvoer:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
delf dieper
Ek het ons PS-skrip met hierdie metode gedekodeer, hieronder is die teks van die program, hoewel effens deur my gewysig:
Let daarop dat die skrif op 4 September 2017 gestel is en sessiekoekies deurgegee het.
Ek het oor hierdie styl van aanval geskryf in
Waarvoor is dit?
Vir sekuriteitsagteware wat Windows- of firewall-gebeurtenisloglêers skandeer, verhoed base64-kodering dat die gewone tekspatroonstring "WebClient" opgespoor word om teen so 'n webversoek te beskerm. En aangesien al die "bose" wanware dan afgelaai en na ons PowerShell oorgedra word, stel hierdie benadering ons dus in staat om opsporing heeltemal te ontduik. Eintlik is dit wat ek eers gedink het.
Dit blyk dat met Windows PowerShell gevorderde logboek geaktiveer (sien my artikel), sal jy die gelaaide string in die gebeurtenislogboek kan sien. ek is soos
Voeg meer skrifte by
Kuberkrakers steek 'n PowerShell-aanval slim weg in Microsoft Office-makro's wat in Visual Basic en ander skriftale geskryf is. Die idee is dat die slagoffer 'n boodskap ontvang, byvoorbeeld van 'n afleweringsdiens, met 'n aangehegte verslag in .doc-formaat. U maak hierdie dokument oop, wat die makro bevat, en dit loop uiteindelik die kwaadwillige PowerShell self.
Dikwels word die Visual Basic-skrip self verduister sodat dit vryelik antivirusse en ander wanwareskandeerders ontduik. In die gees van bogenoemde het ek as 'n oefening besluit om bogenoemde PowerShell in JavaScript te kodeer. Hieronder is die resultate van my werk:
Verduisterde JavaScript wat ons PowerShell verberg. Regte hackers doen dit een of twee keer.
Dit is nog 'n tegniek wat ek op die web teëgekom het: die gebruik van Wscript.Shell om gekodeerde PowerShell uit te voer. Terloops, JavaScript self is
In ons geval is die kwaadwillige JS-skrip geneste as 'n .doc.js-lêer. Windows sal gewoonlik net die eerste agtervoegsel wys, so dit sal as 'n Word-dokument aan die slagoffer verskyn.
Die JS-ikoon word slegs in die rol-ikoon gewys. Nie verrassend nie, baie mense sal hierdie aanhangsel oopmaak en dink dat dit 'n Word-dokument is.
In my voorbeeld het ek die PowerShell hierbo gewysig om die skrif van my webwerf af te laai. Die verwyderde PS-skrif druk net "Evil Malware". Soos jy kan sien, is hy glad nie boos nie. Natuurlik stel regte kuberkrakers daarin belang om toegang tot 'n skootrekenaar of bediener te verkry, byvoorbeeld deur 'n dopopdrag. In die volgende artikel sal ek jou wys hoe om dit te doen met PowerShell Empire.
Ek hoop dat ons vir die eerste inleidende artikel nie te diep in die onderwerp geduik het nie. Nou sal ek jou laat asemhaal, en volgende keer sal ons begin om werklike voorbeelde van aanvalle met lêerlose wanware te ontleed sonder onnodige bekendstellings en voorbereiding.
Bron: will.com