Kun ĉi tiu artikolo ni komencas serion de publikigadoj pri evitebla malware. Sendosieraj hakaj programoj, ankaŭ konataj kiel sendosieraj hakaj programoj, kutime uzas PowerShell en Vindozaj sistemoj por silente ruli komandojn por serĉi kaj ĉerpi valoran enhavon. Detekti piratan agadon sen malicaj dosieroj estas malfacila tasko, ĉar... antivirusoj kaj multaj aliaj detektsistemoj funkcias surbaze de subskribanalizo. Sed la bona novaĵo estas, ke tia programaro ekzistas. Ekzemple, , kapabla detekti malican agadon en dosiersistemoj.
Kiam mi unue komencis esplori la temon de malbonaj hackers, , sed nur la iloj kaj programaro disponeblaj en la komputilo de la viktimo, mi tute ne havis ideon, ke tio baldaŭ fariĝos populara metodo de atako. Profesiuloj pri sekureco ke tio fariĝas tendenco, kaj - konfirmo de tio. Tial mi decidis fari serion da eldonaĵoj pri ĉi tiu temo.
La Granda kaj Potenca PowerShell
Mi skribis pri kelkaj el ĉi tiuj ideoj antaŭe en , sed pli surbaze de teoria koncepto. Poste mi renkontis , kie vi povas trovi specimenojn de malware "kaptita" en la naturo. Mi decidis provi uzi ĉi tiun retejon por trovi specimenojn de sendosiera malware. Kaj mi sukcesis. Cetere, se vi volas fari vian propran malware-ĉasan ekspedicion, vi devos esti kontrolita de ĉi tiu retejo por ke ili sciu, ke vi faras la laboron kiel specialisto pri blanka ĉapelo. Kiel sekureca bloganto, mi preterpasis ĝin sen demando. Mi certas, ke ankaŭ vi povas.
Krom la specimenoj mem, sur la retejo vi povas vidi kion ĉi tiuj programoj faras. Hibrida analizo rulas malware en sia propra sablokesto kaj monitoras sistemajn vokojn, kurantajn procezojn kaj retan agadon, kaj ĉerpas suspektindajn tekstajn ŝnurojn. Por binaroj kaj aliaj ruleblaj dosieroj, t.e. kie vi eĉ ne povas rigardi la realan altnivelan kodon, hibrida analizo decidas ĉu la programaro estas malica aŭ nur suspektinda surbaze de sia rultempa agado. Kaj post tio la specimeno jam estas taksita.
En la kazo de PowerShell kaj aliaj ekzemplaj skriptoj (Visual Basic, JavaScript, ktp.), mi povis vidi la kodon mem. Ekzemple, mi renkontis ĉi tiun PowerShell-instancon:
Vi ankaŭ povas ruli PowerShell en base64-kodigo por eviti detekton. Notu la uzon de Neinteragaj kaj Kaŝitaj parametroj.
Se vi legis miajn afiŝojn pri malklarigado, tiam vi scias, ke la opcio -e precizigas, ke la enhavo estas base64 kodita. Cetere, hibrida analizo ankaŭ helpas kun ĉi tio malkodante ĉion reen. Se vi volas provi mem malkodi base64 PowerShell (ĉi-poste nomata PS), vi devas ruli ĉi tiun komandon:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Iru pli profunden
Mi malkodis nian PS-skripton per ĉi tiu metodo, ĉi-sube estas la teksto de la programo, kvankam iomete modifita de mi:
Notu, ke la skripto estis ligita al la dato la 4-an de septembro 2017 kaj transdonis sesiajn kuketojn.
Mi skribis pri ĉi tiu stilo de atako en , en kiu la base64 kodita skripto mem ŝarĝas mankas malware de alia retejo, uzante la WebClient-objekton de la biblioteko .Net Framework por fari la pezan ŝarĝon.
Por kio temas?
Por sekureca programaro skananta Vindozajn okazaĵprotokolojn aŭ fajromurojn, baz64-kodigo malhelpas la ĉenon "WebClient" esti detektita per klarteksta ŝablono por protekti kontraŭ farado de tia interreta peto. Kaj ĉar la tuta "malbono" de la malware estas tiam elŝutita kaj transdonita en nian PowerShell, ĉi tiu aliro tiel permesas al ni tute eviti detekton. Aŭ pli ĝuste, tion mi pensis komence.
Rezultas, ke kun Windows PowerShell Advanced Logging ebligita (vidu mian artikolon), vi povos vidi la ŝarĝitan linion en la evento-protokolo. Mi estas kiel ) Mi pensas, ke Microsoft devus ebligi ĉi tiun nivelon de protokolo defaŭlte. Sekve, kun etendita protokolo ebligita, ni vidos en la Vindoza evento-protokolo finitan elŝutan peton de PS-skripto laŭ la ekzemplo, kiun ni diskutis supre. Tial, estas senco aktivigi ĝin, ĉu vi ne konsentas?
Ni aldonu pliajn scenarojn
Hakistoj lerte kaŝas PowerShell-atakojn en makrooj de Microsoft Office skribitaj en Visual Basic kaj aliaj skriptlingvoj. La ideo estas, ke la viktimo ricevas mesaĝon, ekzemple de liveroservo, kun alfiksita raporto en formato .doc. Vi malfermas ĉi tiun dokumenton, kiu enhavas la makroon, kaj ĝi finas lanĉi la malican PowerShell mem.
Ofte la Visual Basic-skripto mem estas malklarigita tiel ke ĝi libere evitas antivirusajn kaj aliajn malware-skaniloj. En la spirito de ĉi-supra, mi decidis kodi la supran PowerShell en JavaScript kiel ekzerco. Malsupre estas la rezultoj de mia laboro:
Malklarigita JavaScript kaŝanta nian PowerShell. Veraj retpiratoj faras tion unu aŭ dufoje.
Ĉi tio estas alia tekniko, kiun mi vidis flosi tra la reto: uzi Wscript.Shell por ruli kodigitan PowerShell. Cetere, JavaScript mem estas livero de malware. Multaj versioj de Vindozo estas enkonstruitaj , kiu mem povas ruli JS.
En nia kazo, la malica JS-skripto estas enigita kiel dosiero kun la etendo .doc.js. Vindozo kutime nur montros la unuan sufikson, do ĝi aperos al la viktimo kiel Vorta dokumento.
La JS-ikono nur aperas en la rulikono. Ne estas surprize, ke multaj homoj malfermos ĉi tiun aldonaĵon pensante, ke ĝi estas Word-dokumento.
En mia ekzemplo, mi modifis la PowerShell supre por elŝuti la skripton de mia retejo. La fora PS-skripto nur presas "Evil Malware". Kiel vi povas vidi, li tute ne estas malbona. Kompreneble, veraj retpiratoj interesiĝas pri aliro al tekkomputilo aŭ servilo, ekzemple, per komanda ŝelo. En la sekva artikolo, mi montros al vi kiel fari tion uzante PowerShell Empire.
Mi esperas, ke por la unua enkonduka artikolo ni ne tro profundiĝis en la temon. Nun mi lasos vin enspiri, kaj venontfoje ni komencos rigardi verajn ekzemplojn de atakoj uzantaj sendosierajn malware sen iuj nenecesaj enkondukaj vortoj aŭ preparo.
fonto: www.habr.com