Tímto článkem začínáme sérii publikací o nepolapitelném malwaru. Bezsouborové hackerské programy, známé také jako bezsouborové hackerské programy, obvykle používají PowerShell v systémech Windows k tichému spouštění příkazů pro vyhledávání a extrahování cenného obsahu. Detekce aktivity hackerů bez škodlivých souborů je obtížný úkol, protože... antiviry a mnoho dalších detekčních systémů funguje na základě analýzy signatur. Dobrou zprávou ale je, že takový software existuje. Například,
Když jsem poprvé začal zkoumat téma badass hackerů,
Velký a výkonný PowerShell
O některých z těchto nápadů jsem již psal v
Kromě samotných ukázek můžete na webu vidět, co tyto programy dělají. Hybridní analýza spouští malware ve vlastním sandboxu a monitoruje systémová volání, běžící procesy a síťovou aktivitu a extrahuje podezřelé textové řetězce. Pro binární soubory a další spustitelné soubory, tzn. tam, kde se nemůžete ani podívat na skutečný kód na vysoké úrovni, hybridní analýza rozhoduje o tom, zda je software škodlivý nebo jen podezřelý na základě jeho aktivity za běhu. A poté je vzorek již vyhodnocen.
V případě PowerShellu a dalších ukázkových skriptů (Visual Basic, JavaScript atd.) jsem měl možnost vidět samotný kód. Například jsem narazil na tuto instanci PowerShell:
Můžete také spustit PowerShell v kódování base64, abyste se vyhnuli detekci. Všimněte si použití parametrů Neinteraktivní a Skryté.
Pokud jste četli mé příspěvky o mlžení, pak víte, že volba -e určuje, že obsah je kódován base64. Mimochodem, hybridní analýza také pomáhá s tím, že dekóduje vše zpět. Pokud si chcete sami vyzkoušet dekódování base64 PowerShell (dále jen PS), musíte spustit tento příkaz:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Jít hlouběji
Pomocí této metody jsem dekódoval náš PS skript, níže je text programu, i když mnou mírně upravený:
Upozorňujeme, že skript byl svázán s datem 4. září 2017 a přenášel soubory cookie relace.
O tomto stylu útoku jsem psal v
Co to dělá?
U bezpečnostního softwaru skenování protokolů událostí Windows nebo firewallů brání kódování base64 detekci řetězce „WebClient“ vzorem prostého textu, aby bylo chráněno před vytvořením takového webového požadavku. A protože se veškeré „zlo“ malwaru následně stáhne a přenese do našeho PowerShellu, tento přístup nám umožňuje zcela se vyhnout detekci. Nebo spíš, to jsem si původně myslel.
Ukazuje se, že s povoleným pokročilým protokolováním Windows PowerShell (viz můj článek) budete moci vidět načtený řádek v protokolu událostí. jsem jako
Přidejme další scénáře
Hackeři chytře skrývají útoky PowerShellu v makrech Microsoft Office napsaných ve Visual Basicu a dalších skriptovacích jazycích. Myšlenka je taková, že oběť obdrží zprávu, například od doručovací služby, s připojenou zprávou ve formátu .doc. Otevřete tento dokument, který obsahuje makro, a skončí to spuštěním samotného škodlivého prostředí PowerShell.
Samotný skript jazyka Visual Basic je často zatemněn, takže se volně vyhýbá antivirovým a jiným skenerům malwaru. V duchu výše uvedeného jsem se rozhodl nakódovat výše uvedený PowerShell v JavaScriptu jako cvičení. Níže jsou výsledky mé práce:
Zmatený JavaScript skrývající náš PowerShell. Skuteční hackeři to dělají raz dva.
Toto je další technika, kterou jsem viděl plout po webu: pomocí Wscript.Shell spouštět kódovaný PowerShell. Mimochodem, JavaScript sám o sobě je
V našem případě je škodlivý skript JS vložen jako soubor s příponou .doc.js. Windows obvykle zobrazí pouze první příponu, takže se oběti zobrazí jako dokument aplikace Word.
Ikona JS se zobrazí pouze v ikoně posouvání. Není divu, že mnoho lidí otevře tuto přílohu v domnění, že jde o dokument aplikace Word.
V mém příkladu jsem upravil PowerShell výše, abych si stáhl skript z mého webu. Vzdálený skript PS pouze vypíše „Zlý malware“. Jak vidíte, není vůbec zlý. Skuteční hackeři samozřejmě mají zájem získat přístup k notebooku nebo serveru, řekněme, prostřednictvím příkazového shellu. V příštím článku vám ukážu, jak to udělat pomocí PowerShell Empire.
Doufám, že jsme se u prvního úvodního článku neponořili do tématu příliš hluboko. Nyní vás nechám vydechnout a příště se bez zbytečných úvodních slov a příprav začneme dívat na reálné příklady útoků pomocí bezfileového malwaru.
Zdroj: www.habr.com