Bu məqalə ilə biz tutulmayan zərərli proqramlar haqqında bir sıra nəşrlərə başlayırıq. Faylsız sındırma proqramları, həmçinin faylsız sındırma proqramları kimi tanınır, adətən qiymətli məzmunu axtarmaq və çıxarmaq üçün əmrləri səssizcə icra etmək üçün Windows sistemlərində PowerShell-dən istifadə edir. Zərərli fayllar olmadan haker fəaliyyətini aşkar etmək çətin işdir, çünki... antiviruslar və bir çox başqa aşkarlama sistemləri imza təhlili əsasında işləyir. Ancaq yaxşı xəbər odur ki, belə proqramlar mövcuddur. Misal üçün,
Mən ilk dəfə qəddar hakerlər mövzusunu araşdırmağa başlayanda,
Böyük və Güclü PowerShell
Bu fikirlərdən bəziləri haqqında əvvəllər yazmışdım
Nümunələrin özlərinə əlavə olaraq, saytda bu proqramların nə etdiyini görə bilərsiniz. Hibrid analiz zərərli proqram təminatını öz qum qutusunda işə salır və sistem zənglərinə, işləyən proseslərə və şəbəkə fəaliyyətinə nəzarət edir və şübhəli mətn sətirlərini çıxarır. Binaries və digər icra edilə bilən fayllar üçün, yəni. Siz hətta faktiki yüksək səviyyəli koda baxa bilməyəcəyiniz yerdə hibrid analiz proqram təminatının zərərli və ya sadəcə şübhəli olub-olmamasına onun işləmə müddətindəki fəaliyyətinə əsasən qərar verir. Və bundan sonra nümunə artıq qiymətləndirilir.
PowerShell və digər nümunə skriptləri (Visual Basic, JavaScript və s.) vəziyyətində kodun özünü görə bildim. Məsələn, mən bu PowerShell nümunəsinə rast gəldim:
Aşkarlanmamaq üçün PowerShell-i base64 kodlaşdırmasında da işə sala bilərsiniz. Qeyri-interaktiv və Gizli parametrlərin istifadəsinə diqqət yetirin.
Əgər çaşqınlıq haqqında yazılarımı oxumusunuzsa, o zaman bilirsiniz ki, -e seçimi məzmunun base64 kodlu olduğunu göstərir. Yeri gəlmişkən, hibrid analiz də hər şeyi geri deşifrə etməklə buna kömək edir. Əgər siz base64 PowerShell proqramını (bundan sonra PS adlandırılacaq) dekodlamağa cəhd etmək istəyirsinizsə, bu əmri yerinə yetirməlisiniz:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Daha dərinə get
Bu üsuldan istifadə edərək PS skriptimizi deşifrə etdim, aşağıda mənim tərəfimdən bir az dəyişdirilmiş olsa da, proqramın mətni verilmişdir:
Qeyd edək ki, skript 4 sentyabr 2017-ci il tarixinə bağlanıb və sessiya kukilərini ötürüb.
Bu hücum tərzi haqqında yazmışdım
O nə edir?
Windows hadisə qeydlərini və ya firewallları skan edən təhlükəsizlik proqramı üçün base64 kodlaması belə veb sorğunun edilməsindən qorunmaq üçün "WebClient" sətirinin düz mətn nümunəsi ilə aşkarlanmasının qarşısını alır. Zərərli proqramın bütün "şərləri" yüklənərək PowerShell-ə ötürüldüyü üçün bu yanaşma bizə aşkarlanmaqdan tamamilə yayınmağa imkan verir. Daha doğrusu, əvvəlcə mən belə düşündüm.
Belə çıxır ki, Windows PowerShell Advanced Logging aktivləşdirildikdə (məqaləmə baxın) hadisələr jurnalında yüklənmiş xətti görə biləcəksiniz. kimiyəm
Əlavə ssenarilər əlavə edək
Hakerlər PowerShell hücumlarını Visual Basic və digər skript dillərində yazılmış Microsoft Office makrolarında ağıllı şəkildə gizlədirlər. İdeya ondan ibarətdir ki, qurban məsələn, çatdırılma xidmətindən .doc formatında əlavə edilmiş hesabatla mesaj alır. Siz makronu ehtiva edən bu sənədi açırsınız və o, zərərli PowerShell proqramını işə salır.
Tez-tez Visual Basic skriptinin özü antivirus və digər zərərli proqram skanerlərindən sərbəst şəkildə yayınması üçün gizlənir. Yuxarıdakıların ruhuna uyğun olaraq, yuxarıdakı PowerShell-i JavaScript-də bir məşq olaraq kodlaşdırmaq qərarına gəldim. İşimin nəticələri aşağıdadır:
PowerShell-imizi gizlədən qarışıq JavaScript. Əsl hakerlər bunu bir və ya iki dəfə edirlər.
Bu, internetdə üzən gördüyüm başqa bir texnikadır: kodlu PowerShell-i işə salmaq üçün Wscript.Shell-dən istifadə edin. Yeri gəlmişkən, JavaScript özüdür
Bizim vəziyyətimizdə zərərli JS skripti .doc.js uzantısı olan fayl kimi daxil edilmişdir. Windows adətən yalnız ilk şəkilçini göstərəcək, ona görə də qurbana Word sənədi kimi görünəcək.
JS simvolu yalnız sürüşdürmə işarəsində görünür. Təəccüblü deyil ki, bir çox insan bu qoşmanı Word sənədi hesab edərək açacaq.
Mənim nümunəmdə skripti veb saytımdan yükləmək üçün yuxarıdakı PowerShell-ə dəyişiklik etdim. Uzaqdan PS skripti sadəcə "Şər Zərərli Proqramı" çap edir. Gördüyünüz kimi, o, heç də pis deyil. Əlbəttə ki, əsl hakerlər noutbuka və ya serverə, məsələn, komanda qabığı vasitəsilə daxil olmaqda maraqlıdırlar. Növbəti məqalədə mən sizə PowerShell Empire istifadə edərək bunu necə edəcəyinizi göstərəcəyəm.
Ümid edirəm ki, ilk giriş məqaləsi üçün mövzuya çox da dərinləşməmişik. İndi sizə nəfəs almağa icazə verəcəyəm və növbəti dəfə heç bir lazımsız giriş sözü və ya hazırlıq olmadan faylsız zərərli proqramdan istifadə edərək hücumların real nümunələrinə baxmağa başlayacağıq.
Mənbə: www.habr.com