Tímto článkem začínáme sérii publikací o nepolapitelném malwaru. Bezsouborové hackerské programy, známé také jako bezsouborové hackerské programy, obvykle používají PowerShell v systémech Windows k tichému spouštění příkazů pro vyhledávání a extrahování cenného obsahu. Detekce aktivity hackerů bez škodlivých souborů je obtížný úkol, protože... antiviry a mnoho dalších detekčních systémů funguje na základě analýzy signatur. Dobrou zprávou ale je, že takový software existuje. Například, , schopný detekovat škodlivou aktivitu v souborových systémech.
Když jsem poprvé začal zkoumat téma badass hackerů, , ale pouze nástroje a software dostupné na počítači oběti, netušil jsem, že se to brzy stane populární metodou útoku. Bezpečnostní profesionálové že se to stává trendem a - potvrzení tohoto. Proto jsem se rozhodl udělat sérii publikací na toto téma.
Velký a výkonný PowerShell
O některých z těchto nápadů jsem již psal v , ale spíše na teoretické koncepci. Později jsem narazil , kde najdete ukázky malwaru „chyceného“ ve volné přírodě. Rozhodl jsem se zkusit použít tento web k nalezení vzorků bezsouborového malwaru. A to se mi povedlo. Mimochodem, pokud se chcete vydat na svou vlastní výpravu na lov malwaru, budete se muset nechat ověřit na tomto webu, aby věděli, že děláte práci jako specialista na bílý klobouk. Jako bezpečnostní blogger jsem to prošel bez otázek. Určitě to dokážeš taky.
Kromě samotných ukázek můžete na webu vidět, co tyto programy dělají. Hybridní analýza spouští malware ve vlastním sandboxu a monitoruje systémová volání, běžící procesy a síťovou aktivitu a extrahuje podezřelé textové řetězce. Pro binární soubory a další spustitelné soubory, tzn. tam, kde se nemůžete ani podívat na skutečný kód na vysoké úrovni, hybridní analýza rozhoduje o tom, zda je software škodlivý nebo jen podezřelý na základě jeho aktivity za běhu. A poté je vzorek již vyhodnocen.
V případě PowerShellu a dalších ukázkových skriptů (Visual Basic, JavaScript atd.) jsem měl možnost vidět samotný kód. Například jsem narazil na tuto instanci PowerShell:
Můžete také spustit PowerShell v kódování base64, abyste se vyhnuli detekci. Všimněte si použití parametrů Neinteraktivní a Skryté.
Pokud jste četli mé příspěvky o mlžení, pak víte, že volba -e určuje, že obsah je kódován base64. Mimochodem, hybridní analýza také pomáhá s tím, že dekóduje vše zpět. Pokud si chcete sami vyzkoušet dekódování base64 PowerShell (dále jen PS), musíte spustit tento příkaz:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Jít hlouběji
Pomocí této metody jsem dekódoval náš PS skript, níže je text programu, i když mnou mírně upravený:
Upozorňujeme, že skript byl svázán s datem 4. září 2017 a přenášel soubory cookie relace.
O tomto stylu útoku jsem psal v , ve kterém se načte samotný skript kódovaný base64 chybějící malware z jiného webu pomocí objektu WebClient knihovny .Net Framework k provedení těžké práce.
Co to dělá?
U bezpečnostního softwaru skenování protokolů událostí Windows nebo firewallů brání kódování base64 detekci řetězce „WebClient“ vzorem prostého textu, aby bylo chráněno před vytvořením takového webového požadavku. A protože se veškeré „zlo“ malwaru následně stáhne a přenese do našeho PowerShellu, tento přístup nám umožňuje zcela se vyhnout detekci. Nebo spíš, to jsem si původně myslel.
Ukazuje se, že s povoleným pokročilým protokolováním Windows PowerShell (viz můj článek) budete moci vidět načtený řádek v protokolu událostí. jsem jako ) Myslím, že Microsoft by měl ve výchozím nastavení povolit tuto úroveň protokolování. Proto se zapnutým rozšířeným protokolováním uvidíme v protokolu událostí Windows dokončený požadavek na stažení ze skriptu PS podle příkladu, který jsme probrali výše. Proto má smysl ji aktivovat, souhlasíte?
Přidejme další scénáře
Hackeři chytře skrývají útoky PowerShellu v makrech Microsoft Office napsaných ve Visual Basicu a dalších skriptovacích jazycích. Myšlenka je taková, že oběť obdrží zprávu, například od doručovací služby, s připojenou zprávou ve formátu .doc. Otevřete tento dokument, který obsahuje makro, a skončí to spuštěním samotného škodlivého prostředí PowerShell.
Samotný skript jazyka Visual Basic je často zatemněn, takže se volně vyhýbá antivirovým a jiným skenerům malwaru. V duchu výše uvedeného jsem se rozhodl nakódovat výše uvedený PowerShell v JavaScriptu jako cvičení. Níže jsou výsledky mé práce:
Zmatený JavaScript skrývající náš PowerShell. Skuteční hackeři to dělají raz dva.
Toto je další technika, kterou jsem viděl plout po webu: pomocí Wscript.Shell spouštět kódovaný PowerShell. Mimochodem, JavaScript sám o sobě je doručení malwaru. Mnoho verzí systému Windows má vestavěné , který sám umí spouštět JS.
V našem případě je škodlivý skript JS vložen jako soubor s příponou .doc.js. Windows obvykle zobrazí pouze první příponu, takže se oběti zobrazí jako dokument aplikace Word.
Ikona JS se zobrazí pouze v ikoně posouvání. Není divu, že mnoho lidí otevře tuto přílohu v domnění, že jde o dokument aplikace Word.
V mém příkladu jsem upravil PowerShell výše, abych si stáhl skript z mého webu. Vzdálený skript PS pouze vypíše „Zlý malware“. Jak vidíte, není vůbec zlý. Skuteční hackeři samozřejmě mají zájem získat přístup k notebooku nebo serveru, řekněme, prostřednictvím příkazového shellu. V příštím článku vám ukážu, jak to udělat pomocí PowerShell Empire.
Doufám, že jsme se u prvního úvodního článku neponořili do tématu příliš hluboko. Nyní vás nechám vydechnout a příště se bez zbytečných úvodních slov a příprav začneme dívat na reálné příklady útoků pomocí bezfileového malwaru.
Zdroj: www.habr.com