Selle artikliga alustame väljaannete seeriat tabamatu pahavara kohta. Failivabad häkkimisprogrammid, tuntud ka kui failivabad häkkimisprogrammid, kasutavad tavaliselt Windowsi süsteemides PowerShelli, et käitada vaikselt käske väärtusliku sisu otsimiseks ja ekstraktimiseks. Häkkerite tegevuse tuvastamine ilma pahatahtlike failideta on keeruline ülesanne, kuna... viirusetõrjed ja paljud teised tuvastussüsteemid töötavad signatuurianalüüsil. Kuid hea uudis on see, et selline tarkvara on olemas. Näiteks, , mis suudab tuvastada pahatahtlikku tegevust failisüsteemides.
Kui hakkasin esimest korda uurima häkkerite teemat, , vaid ainult ohvri arvutis saadaolevate tööriistade ja tarkvara abil, ma ei teadnud, et sellest saab peagi populaarne ründeviis. Turvaspetsialistid et see on muutumas trendiks ja - selle kinnitus. Seetõttu otsustasin teha sellel teemal publikatsioonide sarja.
Suur ja võimas PowerShell
Olen mõnest neist ideedest juba aastal kirjutanud , kuid põhineb pigem teoreetilisel kontseptsioonil. Hiljem sattusin peale , kust leiate loodusest "püütud" pahavara näidiseid. Otsustasin proovida seda saiti kasutada failivaba pahavara näidiste leidmiseks. Ja see mul õnnestus. Muide, kui soovite minna oma pahavara otsimise ekspeditsioonile, peate sellel saidil saama kinnituse, et nad teaksid, et teete tööd valge mütsi spetsialistina. Turvablogijana läbisin selle küsimusteta. Olen kindel, et ka sina saad.
Lisaks proovidele endile saate saidil näha, mida need programmid teevad. Hübriidanalüüs käivitab pahavara oma liivakastis ja jälgib süsteemikõnesid, tööprotsesse ja võrgutegevust ning ekstraheerib kahtlased tekstistringid. Binaarfailide ja muude käivitatavate failide jaoks, st. kus te ei saa isegi vaadata tegelikku kõrgetasemelist koodi, otsustab hübriidanalüüs selle käitusaegse tegevuse põhjal, kas tarkvara on pahatahtlik või lihtsalt kahtlane. Ja pärast seda valimi hinnatakse juba.
PowerShelli ja teiste näidisskriptide (Visual Basic, JavaScript jne) puhul nägin koodi ennast. Näiteks leidsin selle PowerShelli eksemplari:
Tuvastamise vältimiseks saate PowerShelli käivitada ka base64 kodeeringus. Pange tähele mitteinteraktiivsete ja peidetud parameetrite kasutamist.
Kui olete lugenud minu postitusi hägustamise kohta, siis teate, et suvand -e määrab, et sisu on base64 kodeeritud. Muide, selles aitab ka hübriidanalüüs, mis dekodeerib kõik tagasi. Kui soovite proovida base64 PowerShelli (edaspidi PS) dekodeerimist ise, peate käivitama selle käsu:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Mine sügavamale
Dekodeerisin meie PS-skripti selle meetodiga, allpool on programmi tekst, ehkki minu poolt veidi muudetud:
Pange tähele, et skript oli seotud kuupäevaga 4. september 2017 ja edastas seansiküpsised.
Kirjutasin sellisest rünnakustiilist aastal , milles base64 kodeeritud skript ise laadib puudu pahavara teiselt saidilt, kasutades raskuste tõstmiseks .Net Frameworki teegi WebClient objekti.
Mida ta teeb?
Turvatarkvara kontrollimisel Windowsi sündmuste logide või tulemüüride puhul takistab base64 kodeering stringi "WebClient" tuvastamast lihtteksti mustriga, et kaitsta end sellise veebipäringu tegemise eest. Ja kuna kogu pahavara "paha" laaditakse seejärel alla ja edastatakse meie PowerShelli, võimaldab see lähenemisviis meil tuvastamisest täielikult kõrvale hiilida. Õigemini, seda ma alguses arvasin.
Selgub, et kui Windows PowerShell Advanced Logging on lubatud (vt minu artiklit), näete sündmuste logis laaditud rida. ma olen nagu ) Arvan, et Microsoft peaks selle logimise taseme vaikimisi lubama. Seega, kui laiendatud logimine on lubatud, näeme Windowsi sündmuste logis PS-skriptist täidetud allalaadimistaotlust vastavalt ülalkirjeldatud näitele. Seetõttu on mõttekas see aktiveerida, kas te pole nõus?
Lisame täiendavaid stsenaariume
Häkkerid peidavad PowerShelli rünnakud nutikalt Microsoft Office'i makrodesse, mis on kirjutatud Visual Basicus ja teistes skriptikeeltes. Idee seisneb selles, et ohver saab näiteks kättetoimetamisteenuselt sõnumi, millele on lisatud .doc formaadis aruanne. Avate selle makrot sisaldava dokumendi ja see käivitab pahatahtliku PowerShelli ise.
Sageli on Visual Basicu skript ise hägustatud, nii et see väldib vabalt viirusetõrjet ja muid pahavara skannereid. Ülaltoodu vaimus otsustasin ülaltoodud PowerShelli harjutusena JavaScriptis kodeerida. Allpool on minu töö tulemused:
Hägustatud JavaScript peidab meie PowerShelli. Tõelised häkkerid teevad seda üks või kaks korda.
See on veel üks tehnika, mida olen näinud veebis hõljumas: Wscript.Shelli kasutamine kodeeritud PowerShelli käitamiseks. Muide, JavaScript ise on pahavara kohaletoimetamine. Paljud Windowsi versioonid on sisseehitatud , mis ise saab käivitada JS-i.
Meie puhul on pahatahtlik JS-skript manustatud failina laiendiga doc.js. Windows kuvab tavaliselt ainult esimest järelliidet, seega kuvatakse see ohvrile Wordi dokumendina.
JS-i ikoon kuvatakse ainult kerimisikoonil. Pole üllatav, et paljud inimesed avavad selle manuse, arvates, et see on Wordi dokument.
Oma näites muutsin ülaltoodud PowerShelli, et skript oma veebisaidilt alla laadida. Kaug-PS-skript prindib lihtsalt "Evil Malware". Nagu näha, pole ta üldse kuri. Muidugi on tõelised häkkerid huvitatud sülearvutile või serverile ligipääsust, näiteks käsukesta kaudu. Järgmises artiklis näitan teile, kuidas seda PowerShell Empire'i abil teha.
Loodan, et esimese sissejuhatava artikli puhul me teemasse liiga sügavale ei sukeldunud. Nüüd lasen teil veidi hinge tõmmata ja järgmisel korral hakkame vaatama reaalseid näiteid rünnakutest, mis kasutavad failivaba pahavara, ilma tarbetute sissejuhatavate sõnade või ettevalmistuseta.
Allikas: www.habr.com