Gyda'r erthygl hon rydyn ni'n dechrau cyfres o gyhoeddiadau am ddrwgwedd swil. Mae rhaglenni hacio di-ffeil, a elwir hefyd yn rhaglenni hacio di-ffeil, fel arfer yn defnyddio PowerShell ar systemau Windows i redeg gorchmynion yn dawel i chwilio am gynnwys gwerthfawr a'i dynnu. Mae canfod gweithgaredd haciwr heb ffeiliau maleisus yn dasg anodd, oherwydd ... Mae gwrthfeirysau a llawer o systemau canfod eraill yn gweithio ar sail dadansoddiad llofnod. Ond y newyddion da yw bod meddalwedd o'r fath yn bodoli. Er enghraifft,
Pan ddechreuais ymchwilio i bwnc hacwyr badass am y tro cyntaf,
Y PowerShell Fawr a Phwerus
Rwyf wedi ysgrifennu am rai o'r syniadau hyn o'r blaen yn
Yn ogystal Γ’'r samplau eu hunain, ar y wefan gallwch weld beth mae'r rhaglenni hyn yn ei wneud. Mae dadansoddiad hybrid yn rhedeg malware yn ei flwch tywod ei hun ac yn monitro galwadau system, rhedeg prosesau a gweithgaredd rhwydwaith, ac yn tynnu llinynnau testun amheus. Ar gyfer deuaidd a ffeiliau gweithredadwy eraill, h.y. lle na allwch hyd yn oed edrych ar y cod lefel uchel gwirioneddol, mae dadansoddiad hybrid yn penderfynu a yw'r feddalwedd yn faleisus neu'n amheus yn unig yn seiliedig ar ei weithgaredd amser rhedeg. Ac ar Γ΄l hynny mae'r sampl eisoes wedi'i werthuso.
Yn achos PowerShell a sgriptiau sampl eraill (Visual Basic, JavaScript, ac ati), roeddwn i'n gallu gweld y cod ei hun. Er enghraifft, deuthum ar draws yr enghraifft PowerShell hon:
Gallwch hefyd redeg PowerShell mewn amgodio base64 i osgoi canfod. Sylwch ar y defnydd o baramedrau Anrhyngweithiol a Chudd.
Os ydych chi wedi darllen fy swyddi ar obfuscation, yna rydych chi'n gwybod bod yr opsiwn -e yn nodi bod y cynnwys wedi'i amgodio base64. Gyda llaw, mae dadansoddiad hybrid hefyd yn helpu gyda hyn trwy ddadgodio popeth yn Γ΄l. Os ydych chi am geisio dadgodio base64 PowerShell (y cyfeirir ati yma wedi hyn fel PS) eich hun, mae angen i chi redeg y gorchymyn hwn:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Ewch yn ddyfnach
Fe wnes i ddadgodio ein sgript PS gan ddefnyddio'r dull hwn, isod mae testun y rhaglen, er ei fod wedi'i addasu ychydig gennyf i:
Sylwch fod y sgript wedi'i chlymu i'r dyddiad Medi 4, 2017 ac wedi trosglwyddo cwcis sesiwn.
Ysgrifennais am y math hwn o ymosodiad yn
Ar gyfer beth mae hyn?
Ar gyfer meddalwedd diogelwch sy'n sganio logiau digwyddiad Windows neu waliau tΓ’n, mae amgodio base64 yn atal y llinyn "WebClient" rhag cael ei ganfod gan batrwm testun plaen i amddiffyn rhag gwneud cais gwe o'r fath. A chan fod holl βdrwgβ y drwgwedd wedyn yn cael ei lawrlwytho a'i drosglwyddo i'n PowerShell, mae'r dull hwn felly yn caniatΓ‘u inni osgoi canfod yn llwyr. Neu yn hytrach, dyna beth feddyliais i ar y dechrau.
Mae'n ymddangos, gyda Windows PowerShell Advanced Loging wedi'i alluogi (gweler fy erthygl), byddwch chi'n gallu gweld y llinell lwytho yn y log digwyddiad. Rwy'n debyg
Gadewch i ni ychwanegu senarios ychwanegol
Mae hacwyr yn cuddio ymosodiadau PowerShell yn glyfar ym macros Microsoft Office sydd wedi'u hysgrifennu mewn Visual Basic ac ieithoedd sgriptio eraill. Y syniad yw bod y dioddefwr yn derbyn neges, er enghraifft gan wasanaeth dosbarthu, gydag adroddiad ynghlwm ar ffurf .doc. Rydych chi'n agor y ddogfen hon sy'n cynnwys y macro, ac yn y pen draw mae'n lansio'r PowerShell maleisus ei hun.
Yn aml, mae'r sgript Visual Basic ei hun yn cael ei guddio fel ei fod yn osgoi gwrthfeirws a sganwyr malware eraill yn rhydd. Yn ysbryd yr uchod, penderfynais godio'r PowerShell uchod yn JavaScript fel ymarfer. Isod mae canlyniadau fy ngwaith:
JavaScript rhwystredig yn cuddio ein PowerShell. Mae hacwyr go iawn yn gwneud hyn unwaith neu ddwy.
Dyma dechneg arall rydw i wedi'i gweld yn arnofio o gwmpas y we: defnyddio Wscript.Shell i redeg PowerShell wedi'i godio. Gyda llaw, mae JavaScript ei hun
Yn ein hachos ni, mae'r sgript JS maleisus wedi'i fewnosod fel ffeil gyda'r estyniad .doc.js. Fel arfer bydd Windows ond yn dangos yr Γ΄l-ddodiad cyntaf, felly bydd yn ymddangos i'r dioddefwr fel dogfen Word.
Dim ond yn yr eicon sgrolio y mae'r eicon JS yn ymddangos. Nid yw'n syndod y bydd llawer o bobl yn agor yr atodiad hwn gan feddwl ei fod yn ddogfen Word.
Yn fy enghraifft, addasais y PowerShell uchod i lawrlwytho'r sgript o'm gwefan. Mae'r sgript PS anghysbell yn argraffu "Evil Malware". Fel y gwelwch, nid yw'n ddrwg o gwbl. Wrth gwrs, mae gan hacwyr go iawn ddiddordeb mewn cael mynediad at liniadur neu weinydd, dyweder, trwy gragen orchymyn. Yn yr erthygl nesaf, byddaf yn dangos i chi sut i wneud hyn gan ddefnyddio PowerShell Empire.
Rwy'n gobeithio na wnaethom blymio'n rhy ddwfn i'r pwnc ar gyfer yr erthygl ragarweiniol gyntaf. Nawr fe adawaf ichi gymryd anadl, a'r tro nesaf byddwn yn dechrau edrych ar enghreifftiau go iawn o ymosodiadau gan ddefnyddio meddalwedd maleisus di-ffeil heb unrhyw eiriau na pharatoi rhagarweiniol diangen.
Ffynhonnell: hab.com