Uban niini nga artikulo nagsugod kami sa usa ka serye sa mga publikasyon bahin sa idlas nga malware. Ang mga programa sa pag-hack nga walay file, nailhan usab nga mga programa sa pag-hack nga walay file, kasagarang naggamit sa PowerShell sa mga sistema sa Windows sa hilom nga pagpadagan sa mga sugo aron sa pagpangita ug pagkuha sa bililhong sulod. Ang pag-ila sa kalihokan sa hacker nga walay makadaot nga mga file usa ka lisud nga buluhaton, tungod kay ... Ang mga antivirus ug daghang uban pang mga sistema sa pag-ila nagtrabaho base sa pagtuki sa pirma. Apan ang maayong balita mao nga ang ingon nga software naglungtad. Pananglitan, , makahimo sa pag-ila sa malisyosong kalihokan sa mga file system.
Sa una nakong pagsugod sa pagsiksik sa hilisgutan sa mga badass hacker, , apan ang mga himan ug software lamang nga anaa sa kompyuter sa biktima, wala akoy ideya nga kini sa dili madugay mahimong popular nga paagi sa pag-atake. Mga Propesyonal sa Seguridad nga kini nahimong uso, ug - kumpirmasyon niini. Busa, nakahukom ko nga maghimog serye sa mga publikasyon bahin niini nga ulohan.
Ang Dako ug Gamhanan nga PowerShell
Gisulat ko ang bahin sa pipila niini nga mga ideya sa wala pa sa , apan mas gibase sa usa ka teoretikal nga konsepto. Naa koy naabtan , diin makit-an nimo ang mga sampol sa malware nga "nasakpan" sa ihalas nga lugar. Nakahukom ko nga sulayan ang paggamit niini nga site aron makapangita mga sample sa fileless malware. Ug nilampos ko. Pinaagi sa dalan, kung gusto nimo nga moadto sa imong kaugalingon nga ekspedisyon sa pagpangayam sa malware, kinahanglan nimo nga mapamatud-an sa kini nga site aron mahibal-an nila nga imong gibuhat ang trabaho ingon usa ka espesyalista sa puti nga kalo. Isip usa ka blogger sa seguridad, gipasa nako kini nga walay pangutana. Sigurado ko nga mahimo usab nimo.
Gawas pa sa mga sampol sa ilang kaugalingon, sa site makita nimo kung unsa ang gibuhat sa kini nga mga programa. Ang hybrid nga pag-analisa nagpadagan sa malware sa kaugalingon nga sandbox ug nagmonitor sa mga tawag sa sistema, nagpadagan nga mga proseso ug kalihokan sa network, ug nagkuha sa mga kadudahang linya sa teksto. Alang sa binary ug uban pang mga executable nga mga file, i.e. diin dili gani nimo matan-aw ang aktuwal nga high-level code, ang hybrid analysis mohukom kung malisyoso ba ang software o kadudahan lang base sa kalihokan niini sa runtime. Ug human niana ang sample na-evaluate na.
Sa kaso sa PowerShell ug uban pang mga sample script (Visual Basic, JavaScript, ug uban pa), nakita nako ang code mismo. Pananglitan, nakit-an nako kini nga pananglitan sa PowerShell:
Mahimo usab nimo nga ipadagan ang PowerShell sa base64 encoding aron malikayan ang pagkakita. Timan-i ang paggamit sa Noninteractive ug Hidden parameters.
Kung nabasa nimo ang akong mga post sa obfuscation, nan nahibal-an nimo nga ang -e nga kapilian nagtino nga ang sulud base64 nga naka-encode. Pinaagi sa dalan, ang hybrid analysis makatabang usab niini pinaagi sa pag-decode sa tanan balik. Kung gusto nimong sulayan ang pag-decode sa base64 PowerShell (gitawag nga PS) sa imong kaugalingon, kinahanglan nimo nga ipadagan kini nga mando:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Lalim pa
Gi-decode nako ang among PS script gamit kini nga pamaagi, sa ubos mao ang teksto sa programa, bisan og gamay nga giusab nako:
Timan-i nga ang script gihigot sa petsa sa Septyembre 4, 2017 ug gipasa ang mga cookies sa sesyon.
Gisulat ko ang bahin sa kini nga istilo sa pag-atake , diin ang base64 nga naka-encode nga script mismo nag-load nawala malware gikan sa laing site, gamit ang WebClient object sa library sa .Net Framework aron mahimo ang bug-at nga pag-alsa.
Unsa man ini?
Para sa security software nga nag-scan sa Windows event logs o firewalls, base64 encoding nagpugong sa string nga "WebClient" nga makit-an sa usa ka plain text pattern aron maprotektahan batok sa paghimo sa maong web request. Ug tungod kay ang tanan nga "daotan" sa malware unya gi-download ug gipasa sa among PowerShell, kini nga pamaagi nagtugot kanamo nga hingpit nga makalikay sa pagkakita. O hinoon, mao kana ang akong gihunahuna sa una.
Nahibal-an nga kung gipagana ang Windows PowerShell Advanced Logging (tan-awa ang akong artikulo), mahimo nimong makita ang gikarga nga linya sa log sa panghitabo. Ingon ko ) Sa akong hunahuna kinahanglan nga mahimo sa Microsoft kini nga lebel sa pag-log pinaagi sa default. Busa, uban sa gipalawig nga pag-log, atong makita sa Windows event log ang usa ka kompleto nga hangyo sa pag-download gikan sa PS script sumala sa pananglitan nga atong gihisgutan sa ibabaw. Busa, makatarunganon nga i-activate kini, dili ka ba mouyon?
Magdugang ta og dugang nga mga senaryo
Ang mga hacker abtik nga nagtago sa mga pag-atake sa PowerShell sa Microsoft Office macros nga gisulat sa Visual Basic ug uban pang mga scripting nga pinulongan. Ang ideya mao nga ang biktima makadawat og mensahe, pananglitan gikan sa serbisyo sa paghatod, nga adunay gilakip nga report sa .doc nga pormat. Giablihan nimo kini nga dokumento nga adunay sulud nga macro, ug natapos ang paglansad sa makadaot nga PowerShell mismo.
Kasagaran ang Visual Basic nga script mismo gi-obfuscated aron kini gawasnon nga makalikay sa antivirus ug uban pang mga scanner sa malware. Sa espiritu sa ibabaw, nakahukom ko nga i-code ang PowerShell sa itaas sa JavaScript ingon usa ka ehersisyo. Sa ubos mao ang mga resulta sa akong trabaho:
Gitago sa JavaScript ang among PowerShell. Ang tinuod nga mga hacker nagbuhat niini kausa o kaduha.
Kini ang lain nga teknik nga akong nakita nga naglutaw sa web: gamit ang Wscript.Shell sa pagpadagan sa coded PowerShell. Pinaagi sa dalan, ang JavaScript mismo pagpadala sa malware. Daghang mga bersyon sa Windows adunay built-in , nga sa iyang kaugalingon makadagan sa JS.
Sa among kaso, ang malisyoso nga JS script gi-embed isip file nga adunay extension nga .doc.js. Ang Windows kasagarang magpakita lamang sa unang suffix, aron kini makita sa biktima isip usa ka dokumento sa Pulong.
Ang JS icon makita lang sa scroll icon. Dili ikatingala nga daghang mga tawo ang magbukas niini nga attachment nga naghunahuna nga kini usa ka dokumento sa Pulong.
Sa akong pananglitan, akong giusab ang PowerShell sa ibabaw aron ma-download ang script gikan sa akong website. Ang hilit nga PS script nag-imprinta lang sa "Evil Malware". Sama sa imong makita, dili siya daotan. Siyempre, ang tinuod nga mga hacker interesado nga makakuha og access sa usa ka laptop o server, ingnon ta, pinaagi sa command shell. Sa sunod nga artikulo, ipakita ko kanimo kung giunsa kini buhaton gamit ang PowerShell Empire.
Nanghinaut ko nga alang sa una nga pasiuna nga artikulo wala kami mag-dive pag-ayo sa hilisgutan. Karon tugotan ko ikaw sa pagginhawa, ug sa sunod magsugod kita sa pagtan-aw sa tinuod nga mga pananglitan sa mga pag-atake gamit ang fileless malware nga walay bisan unsang wala kinahanglana nga pasiuna nga mga pulong o pagpangandam.
Source: www.habr.com