Bu məqalə ilə biz tutulmayan zərərli proqramlar haqqında bir sıra nəşrlərə başlayırıq. Faylsız sındırma proqramları, həmçinin faylsız sındırma proqramları kimi tanınır, adətən qiymətli məzmunu axtarmaq və çıxarmaq üçün əmrləri səssizcə icra etmək üçün Windows sistemlərində PowerShell-dən istifadə edir. Zərərli fayllar olmadan haker fəaliyyətini aşkar etmək çətin işdir, çünki... antiviruslar və bir çox başqa aşkarlama sistemləri imza təhlili əsasında işləyir. Ancaq yaxşı xəbər odur ki, belə proqramlar mövcuddur. Misal üçün, , fayl sistemlərində zərərli fəaliyyəti aşkar etməyə qadirdir.
Mən ilk dəfə qəddar hakerlər mövzusunu araşdırmağa başlayanda, , lakin yalnız qurbanın kompüterində mövcud olan alətlər və proqram təminatı, bunun tezliklə məşhur hücum üsuluna çevriləcəyini bilmirdim. Təhlükəsizlik mütəxəssisləri bunun bir tendensiyaya çevrildiyini və - bunun təsdiqi. Ona görə də bu mövzuda silsilə nəşrlər hazırlamağa qərar verdim.
Böyük və Güclü PowerShell
Bu fikirlərdən bəziləri haqqında əvvəllər yazmışdım , lakin daha çox nəzəri konsepsiyaya əsaslanır. Sonradan rastlaşdım , burada vəhşi təbiətdə "tutulmuş" zərərli proqram nümunələrini tapa bilərsiniz. Faylsız zərərli proqram nümunələrini tapmaq üçün bu saytdan istifadə etməyə qərar verdim. Və bacardım. Yeri gəlmişkən, öz zərərli proqram ovçuluq ekspedisiyanıza getmək istəyirsinizsə, bu sayt tərəfindən təsdiqlənməli olacaqsınız ki, onlar sizin işi ağ papaq mütəxəssisi kimi etdiyinizi bilsinlər. Bir təhlükəsizlik bloqçusu olaraq, sualsız keçdim. Əminəm ki, siz də edə bilərsiniz.
Nümunələrin özlərinə əlavə olaraq, saytda bu proqramların nə etdiyini görə bilərsiniz. Hibrid analiz zərərli proqram təminatını öz qum qutusunda işə salır və sistem zənglərinə, işləyən proseslərə və şəbəkə fəaliyyətinə nəzarət edir və şübhəli mətn sətirlərini çıxarır. Binaries və digər icra edilə bilən fayllar üçün, yəni. Siz hətta faktiki yüksək səviyyəli koda baxa bilməyəcəyiniz yerdə hibrid analiz proqram təminatının zərərli və ya sadəcə şübhəli olub-olmamasına onun işləmə müddətindəki fəaliyyətinə əsasən qərar verir. Və bundan sonra nümunə artıq qiymətləndirilir.
PowerShell və digər nümunə skriptləri (Visual Basic, JavaScript və s.) vəziyyətində kodun özünü görə bildim. Məsələn, mən bu PowerShell nümunəsinə rast gəldim:
Aşkarlanmamaq üçün PowerShell-i base64 kodlaşdırmasında da işə sala bilərsiniz. Qeyri-interaktiv və Gizli parametrlərin istifadəsinə diqqət yetirin.
Əgər çaşqınlıq haqqında yazılarımı oxumusunuzsa, o zaman bilirsiniz ki, -e seçimi məzmunun base64 kodlu olduğunu göstərir. Yeri gəlmişkən, hibrid analiz də hər şeyi geri deşifrə etməklə buna kömək edir. Əgər siz base64 PowerShell proqramını (bundan sonra PS adlandırılacaq) dekodlamağa cəhd etmək istəyirsinizsə, bu əmri yerinə yetirməlisiniz:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Daha dərinə get
Bu üsuldan istifadə edərək PS skriptimizi deşifrə etdim, aşağıda mənim tərəfimdən bir az dəyişdirilmiş olsa da, proqramın mətni verilmişdir:
Qeyd edək ki, skript 4 sentyabr 2017-ci il tarixinə bağlanıb və sessiya kukilərini ötürüb.
Bu hücum tərzi haqqında yazmışdım , burada base64 kodlu skriptin özü yüklənir itkin .Net Framework kitabxanasının WebClient obyektindən istifadə edərək başqa saytdan zərərli proqram.
O nə edir?
Windows hadisə qeydlərini və ya firewallları skan edən təhlükəsizlik proqramı üçün base64 kodlaması belə veb sorğunun edilməsindən qorunmaq üçün "WebClient" sətirinin düz mətn nümunəsi ilə aşkarlanmasının qarşısını alır. Zərərli proqramın bütün "şərləri" yüklənərək PowerShell-ə ötürüldüyü üçün bu yanaşma bizə aşkarlanmaqdan tamamilə yayınmağa imkan verir. Daha doğrusu, əvvəlcə mən belə düşündüm.
Belə çıxır ki, Windows PowerShell Advanced Logging aktivləşdirildikdə (məqaləmə baxın) hadisələr jurnalında yüklənmiş xətti görə biləcəksiniz. kimiyəm ) Düşünürəm ki, Microsoft standart olaraq bu giriş səviyyəsini aktivləşdirməlidir. Buna görə də, uzadılmış giriş aktiv olduqda, biz Windows hadisə jurnalında yuxarıda müzakirə etdiyimiz nümunəyə uyğun olaraq PS skriptindən tamamlanmış yükləmə sorğusunu görəcəyik. Ona görə də onu aktivləşdirməyin mənası var, razı deyilsiniz?
Əlavə ssenarilər əlavə edək
Hakerlər PowerShell hücumlarını Visual Basic və digər skript dillərində yazılmış Microsoft Office makrolarında ağıllı şəkildə gizlədirlər. İdeya ondan ibarətdir ki, qurban məsələn, çatdırılma xidmətindən .doc formatında əlavə edilmiş hesabatla mesaj alır. Siz makronu ehtiva edən bu sənədi açırsınız və o, zərərli PowerShell proqramını işə salır.
Tez-tez Visual Basic skriptinin özü antivirus və digər zərərli proqram skanerlərindən sərbəst şəkildə yayınması üçün gizlənir. Yuxarıdakıların ruhuna uyğun olaraq, yuxarıdakı PowerShell-i JavaScript-də bir məşq olaraq kodlaşdırmaq qərarına gəldim. İşimin nəticələri aşağıdadır:
PowerShell-imizi gizlədən qarışıq JavaScript. Əsl hakerlər bunu bir və ya iki dəfə edirlər.
Bu, internetdə üzən gördüyüm başqa bir texnikadır: kodlu PowerShell-i işə salmaq üçün Wscript.Shell-dən istifadə edin. Yeri gəlmişkən, JavaScript özüdür zərərli proqram təminatının çatdırılması. Windows-un bir çox versiyalarında daxili quraşdırılmışdır , özü də JS-ni işlədə bilər.
Bizim vəziyyətimizdə zərərli JS skripti .doc.js uzantısı olan fayl kimi daxil edilmişdir. Windows adətən yalnız ilk şəkilçini göstərəcək, ona görə də qurbana Word sənədi kimi görünəcək.
JS simvolu yalnız sürüşdürmə işarəsində görünür. Təəccüblü deyil ki, bir çox insan bu qoşmanı Word sənədi hesab edərək açacaq.
Mənim nümunəmdə skripti veb saytımdan yükləmək üçün yuxarıdakı PowerShell-ə dəyişiklik etdim. Uzaqdan PS skripti sadəcə "Şər Zərərli Proqramı" çap edir. Gördüyünüz kimi, o, heç də pis deyil. Əlbəttə ki, əsl hakerlər noutbuka və ya serverə, məsələn, komanda qabığı vasitəsilə daxil olmaqda maraqlıdırlar. Növbəti məqalədə mən sizə PowerShell Empire istifadə edərək bunu necə edəcəyinizi göstərəcəyəm.
Ümid edirəm ki, ilk giriş məqaləsi üçün mövzuya çox da dərinləşməmişik. İndi sizə nəfəs almağa icazə verəcəyəm və növbəti dəfə heç bir lazımsız giriş sözü və ya hazırlıq olmadan faylsız zərərli proqramdan istifadə edərək hücumların real nümunələrinə baxmağa başlayacağıq.
Mənbə: www.habr.com