Ovim člankom započinjemo seriju publikacija o neuhvatljivom zlonamjernom softveru. Hakerski programi koji ne ostavljaju tragove napada, takođe poznati kao bez fajla („betelesni“, nevidljivi, bez fajlova), obično koriste PowerShell na Windows sistemima za prikriveno izvršavanje komandi za traženje i izdvajanje vrednog sadržaja. Otkrivanje aktivnosti hakera bez zlonamjernih datoteka je težak zadatak. antivirusi i mnogi drugi sistemi za detekciju rade na osnovu analize potpisa. Ali dobra vijest je da takav softver postoji. Na primjer,
Kada sam prvi put počeo da učim o cool hakerima,
Veliki i strašni PowerShell
O nekim od ovih ideja već sam pisao u
Pored samih uzoraka, na sajtu možete videti šta rade ovi programi. Hibridna analiza pokreće zlonamjerni softver u vlastitom sandboxu i prati sistemske pozive, pokrenute procese i mrežne aktivnosti, te izdvaja sumnjive tekstualne nizove. Za binarne i druge izvršne datoteke, tj. gde ne možete čak ni da pogledate stvarni kod visokog nivoa, hibridna analiza odlučuje da li je softver zlonameran ili samo sumnjiv na osnovu njegove aktivnosti tokom izvršavanja. I nakon toga, uzorak se već evaluira.
U slučaju PowerShell-a i drugih primjera skripti (Visual Basic, JavaScript, itd.), uspio sam vidjeti sam kod. Na primjer, naišao sam na ovu PowerShell instancu:
Također možete pokrenuti base64 kodirani PowerShell da biste izbjegli otkrivanje. Obratite pažnju na upotrebu neinteraktivnih i skrivenih opcija.
Ako ste pročitali moje obfusacijske postove, onda znate da opcija -e označava da je sadržaj kodiran base64. Inače, hibridna analiza također pomaže u tome, dekodirajući sve natrag. Ako želite sami pokušati dekodirati base64 PowerShell (u daljem tekstu - PS), trebate pokrenuti ovu naredbu:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
zadubiti dublje
Dekodirao sam našu PS skriptu koristeći ovu metodu, ispod je tekst programa, iako sam malo izmijenjen:
Imajte na umu da je skripta postavljena na 4. septembar 2017. i da je prosljeđivala kolačiće sesije.
Pisao sam o ovom stilu napada u
Što on radi?
Za sigurnosni softver koji skenira Windows ili evidenciju događaja zaštitnog zida, base64 kodiranje sprečava da se niz "WebClient" otkrije jednostavnim tekstualnim obrascem kako bi se zaštitio od takvog web zahtjeva. A budući da se sav "zli" zlonamjerni softver zatim preuzima i prosljeđuje u naš PowerShell, ovaj pristup nam tako omogućava da u potpunosti izbjegnemo otkrivanje. Zapravo, to sam i mislio u početku.
Ispostavilo se da ćete uz omogućeno napredno evidentiranje Windows PowerShell-a (pogledajte moj članak) moći vidjeti učitani niz u evidenciji događaja. Ja sam kao
Dodavanje više skripti
Hakeri pametno skrivaju PowerShell napad u makroima Microsoft Officea napisanim u Visual Basicu i drugim skript jezicima. Ideja je da žrtva dobije poruku, na primjer, od dostavne službe, sa priloženim izvještajem u .doc formatu. Otvorite ovaj dokument, koji sadrži makro, i on na kraju pokreće sam zlonamjerni PowerShell.
Često je sama Visual Basic skripta zamagljena tako da slobodno izbjegava antivirusne i druge skenere zlonamjernog softvera. U duhu gore navedenog, odlučio sam kao vježbu da kodiram gornji PowerShell u JavaScript-u. Ispod su rezultati mog rada:
Zamagljeni JavaScript koji skriva naš PowerShell. Pravi hakeri to rade jednom ili dvaput.
Ovo je još jedna tehnika na koju sam naišao na webu: korištenje Wscript.Shell-a za pokretanje kodiranog PowerShell-a. Uzgred, i sam JavaScript jeste
U našem slučaju, zlonamjerna JS skripta je ugniježđena kao .doc.js datoteka. Windows će obično prikazati samo prvi sufiks, tako da će se žrtvi prikazati kao Word dokument.
JS ikona se prikazuje samo u ikoni za pomicanje. Nije iznenađujuće što će mnogi ljudi otvoriti ovaj prilog misleći da je riječ o Word dokumentu.
U mom primjeru, izmijenio sam PowerShell iznad da preuzmem skriptu sa svoje web stranice. Uklonjena PS skripta samo ispisuje "Evil Malware". Kao što vidite, on uopšte nije zao. Naravno, pravi hakeri su zainteresovani da dobiju pristup laptopu ili serveru, recimo, preko komande ljuske. U sljedećem članku ću vam pokazati kako to učiniti koristeći PowerShell Empire.
Nadam se da za prvi uvodni članak nismo previše zaronili u temu. Sada ću vas pustiti da udahnete, a sljedeći put ćemo početi analizirati stvarne primjere napada upotrebom malvera bez datoteka bez nepotrebnih uvoda i priprema.
izvor: www.habr.com