Ovim člankom započinjemo seriju publikacija o neuhvatljivom zlonamjernom softveru. Hakerski programi koji ne ostavljaju tragove napada, takođe poznati kao bez fajla („betelesni“, nevidljivi, bez fajlova), obično koriste PowerShell na Windows sistemima za prikriveno izvršavanje komandi za traženje i izdvajanje vrednog sadržaja. Otkrivanje aktivnosti hakera bez zlonamjernih datoteka je težak zadatak. antivirusi i mnogi drugi sistemi za detekciju rade na osnovu analize potpisa. Ali dobra vijest je da takav softver postoji. Na primjer, , sposoban za otkrivanje zlonamjerne aktivnosti u sistemima datoteka.
Kada sam prvi put počeo da učim o cool hakerima, , već samo alate i softver koji su dostupni na računaru žrtve, nisam imao pojma da će to uskoro postati popularna metoda napada. Security Professionals da to postaje trend, i - potvrda ovoga. Stoga sam odlučio napraviti seriju publikacija na ovu temu.
Veliki i strašni PowerShell
O nekim od ovih ideja već sam pisao u , ali više sa teorijske tačke gledišta. Kasnije sam naišao , gdje možete pronaći uzorke zlonamjernog softvera "uhvaćenog" u divljini. Odlučio sam pokušati koristiti ovu stranicu da pronađem uzorke zlonamjernog softvera bez datoteka. I uspio sam. Usput, ako želite ići u svoju vlastitu ekspediciju njuškanja zlonamjernog softvera, morat ćete provjeriti na ovoj stranici da im kažete da radite s bijelim šeširom. Kao bloger koji piše o sigurnosti, prošao sam bez pitanja. Siguran sam da i ti možeš.
Pored samih uzoraka, na sajtu možete videti šta rade ovi programi. Hibridna analiza pokreće zlonamjerni softver u vlastitom sandboxu i prati sistemske pozive, pokrenute procese i mrežne aktivnosti, te izdvaja sumnjive tekstualne nizove. Za binarne i druge izvršne datoteke, tj. gde ne možete čak ni da pogledate stvarni kod visokog nivoa, hibridna analiza odlučuje da li je softver zlonameran ili samo sumnjiv na osnovu njegove aktivnosti tokom izvršavanja. I nakon toga, uzorak se već evaluira.
U slučaju PowerShell-a i drugih primjera skripti (Visual Basic, JavaScript, itd.), uspio sam vidjeti sam kod. Na primjer, naišao sam na ovu PowerShell instancu:
Također možete pokrenuti base64 kodirani PowerShell da biste izbjegli otkrivanje. Obratite pažnju na upotrebu neinteraktivnih i skrivenih opcija.
Ako ste pročitali moje obfusacijske postove, onda znate da opcija -e označava da je sadržaj kodiran base64. Inače, hibridna analiza također pomaže u tome, dekodirajući sve natrag. Ako želite sami pokušati dekodirati base64 PowerShell (u daljem tekstu - PS), trebate pokrenuti ovu naredbu:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))zadubiti dublje
Dekodirao sam našu PS skriptu koristeći ovu metodu, ispod je tekst programa, iako sam malo izmijenjen:
Imajte na umu da je skripta postavljena na 4. septembar 2017. i da je prosljeđivala kolačiće sesije.
Pisao sam o ovom stilu napada u , u kojem se sama skripta kodirana base64 učitava nedostaje zlonamjerni softver s druge stranice, koristeći objekt WebClient iz biblioteke .Net Framework da obavi sav težak posao.
Što on radi?
Za sigurnosni softver koji skenira Windows ili evidenciju događaja zaštitnog zida, base64 kodiranje sprečava da se niz "WebClient" otkrije jednostavnim tekstualnim obrascem kako bi se zaštitio od takvog web zahtjeva. A budući da se sav "zli" zlonamjerni softver zatim preuzima i prosljeđuje u naš PowerShell, ovaj pristup nam tako omogućava da u potpunosti izbjegnemo otkrivanje. Zapravo, to sam i mislio u početku.
Ispostavilo se da ćete uz omogućeno napredno evidentiranje Windows PowerShell-a (pogledajte moj članak) moći vidjeti učitani niz u evidenciji događaja. Ja sam kao ) Mislim da bi Microsoft trebao omogućiti ovaj nivo evidentiranja po defaultu. Stoga, kada je prošireno evidentiranje omogućeno, vidjet ćemo u Windows dnevniku događaja završen zahtjev za preuzimanje iz PS skripte prema primjeru koji smo analizirali iznad. Stoga, ima smisla aktivirati ga, slažete se?
Dodavanje više skripti
Hakeri pametno skrivaju PowerShell napad u makroima Microsoft Officea napisanim u Visual Basicu i drugim skript jezicima. Ideja je da žrtva dobije poruku, na primjer, od dostavne službe, sa priloženim izvještajem u .doc formatu. Otvorite ovaj dokument, koji sadrži makro, i on na kraju pokreće sam zlonamjerni PowerShell.
Često je sama Visual Basic skripta zamagljena tako da slobodno izbjegava antivirusne i druge skenere zlonamjernog softvera. U duhu gore navedenog, odlučio sam kao vježbu da kodiram gornji PowerShell u JavaScript-u. Ispod su rezultati mog rada:
Zamagljeni JavaScript koji skriva naš PowerShell. Pravi hakeri to rade jednom ili dvaput.
Ovo je još jedna tehnika na koju sam naišao na webu: korištenje Wscript.Shell-a za pokretanje kodiranog PowerShell-a. Uzgred, i sam JavaScript jeste dostava zlonamjernog softvera. Mnoge verzije Windows-a imaju ugrađen , koji sam može pokrenuti JS.
U našem slučaju, zlonamjerna JS skripta je ugniježđena kao .doc.js datoteka. Windows će obično prikazati samo prvi sufiks, tako da će se žrtvi prikazati kao Word dokument.
JS ikona se prikazuje samo u ikoni za pomicanje. Nije iznenađujuće što će mnogi ljudi otvoriti ovaj prilog misleći da je riječ o Word dokumentu.
U mom primjeru, izmijenio sam PowerShell iznad da preuzmem skriptu sa svoje web stranice. Uklonjena PS skripta samo ispisuje "Evil Malware". Kao što vidite, on uopšte nije zao. Naravno, pravi hakeri su zainteresovani da dobiju pristup laptopu ili serveru, recimo, preko komande ljuske. U sljedećem članku ću vam pokazati kako to učiniti koristeći PowerShell Empire.
Nadam se da za prvi uvodni članak nismo previše zaronili u temu. Sada ću vas pustiti da udahnete, a sljedeći put ćemo početi analizirati stvarne primjere napada upotrebom malvera bez datoteka bez nepotrebnih uvoda i priprema.
izvor: www.habr.com