Artikulu honekin malware iheskorrari buruzko argitalpen sorta bat hasiko dugu. Fitxategirik gabeko hacking programek, fitxategirik gabeko hacking programak bezala ere ezagunak, normalean PowerShell erabiltzen dute Windows sistemetan, eduki baliotsua bilatzeko eta ateratzeko komandoak isilean exekutatzeko. Fitxategi maltzurrik gabe hackerren jarduera detektatzea lan zaila da, zeren... birusen aurkakoek eta beste detekzio sistema askok sinadura-analisian oinarrituta funtzionatzen dute. Baina albiste ona da horrelako softwarea existitzen dela. Adibidez, , fitxategi-sistemetan jarduera gaiztoak detektatzeko gai da.
Hacker gaiztoen gaia ikertzen hasi nintzenean, , baina biktimaren ordenagailuan eskuragarri dauden tresnak eta softwareak soilik, ez nuen ideia hori laster eraso metodo ezagun bat bihurtuko zenik. Segurtasuneko Profesionalak hori joera bihurtzen ari dela, eta - horren berrespena. Horregatik, gai honi buruzko argitalpen sorta bat egitea erabaki nuen.
PowerShell Handi eta Indartsua
Ideia hauetariko batzuei buruz idatzi dut aurretik , baina gehiago kontzeptu teoriko batean oinarrituta. Geroago topo egin nuen , non basatian "harrapatutako" malwarearen laginak aurki ditzakezu. Gune hau erabiltzen saiatzea erabaki nuen fitxategirik gabeko malwarearen laginak aurkitzeko. Eta lortu nuen. Bide batez, zure malwarearen ehiza-espedizioan joan nahi baduzu, gune honek egiaztatu beharko duzu, kapela zuriko espezialista gisa lana egiten ari zarela jakin dezaten. Segurtasun blogari gisa, galderarik gabe gainditu nuen. Ziur nago zuk ere egin dezakezula.
Laginez gain, programa hauek zer egiten duten ikus dezakezu gunean. Analisi hibridoak malwarea bere sandbox-ean exekutatzen du eta sistema-deiak, exekutatzen diren prozesuak eta sareko jarduerak kontrolatzen ditu eta testu-kate susmagarriak ateratzen ditu. Binarioetarako eta beste fitxategi exekutagarrietarako, hau da. non ezin duzun benetako maila altuko kodea begiratu ere egin, analisi hibridoak erabakitzen du softwarea gaiztoa den ala susmagarria den bere exekuzio-jardueraren arabera. Eta horren ondoren lagina dagoeneko ebaluatzen da.
PowerShell eta beste lagin script batzuen kasuan (Visual Basic, JavaScript, etab.), kodea bera ikusi ahal izan dut. Adibidez, PowerShell instantzia hau topatu nuen:
PowerShell base64 kodetzean ere exekutatu dezakezu detekzioa saihesteko. Kontuan izan interaktiborik gabeko eta ezkutuko parametroen erabilera.
Ofuskazioari buruzko nire mezuak irakurri badituzu, badakizu -e aukerak zehazten duela edukia base64 kodetuta dagoela. Bide batez, analisi hibridoak ere horretan laguntzen du dena atzera deskodetuz. Base64 PowerShell (aurrerantzean PS) dekodetzen saiatu nahi baduzu, komando hau exekutatu behar duzu:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Sakonago joan
Gure PS script-a metodo hau erabiliz deskodetu nuen, behean programaren testua dago, nik apur bat aldatu arren:
Kontuan izan gidoia 4ko irailaren 2017ko datarekin lotuta zegoela eta saioko cookieak transmititu zituela.
Eraso estilo honi buruz idatzi nuen , eta bertan base64 kodetutako scripta bera kargatzen da falta beste gune bateko malwarea, .Net Framework liburutegiko WebClient objektua erabiliz, lan astunak egiteko.
Zer egiten du?
Windows gertaeren erregistroak edo suebakiak eskaneatzen dituen segurtasun-softwarearentzat, base64 kodeketak "WebClient" katea testu arruntaren eredu batek detektatzea eragozten du, web-eskaera hori egiteaz babesteko. Eta malwarearen "gaizto" guztiak deskargatu eta gure PowerShell-era pasatzen direnez, ikuspegi honek detekzioa guztiz saihesteko aukera ematen digu. Edo hobeto esanda, horixe pentsatu nuen hasieran.
Bihurtzen da Windows PowerShell erregistro aurreratua gaituta (ikusi nire artikulua), gertaeren erregistroan kargatutako lerroa ikusi ahal izango duzula. bezalakoa naiz ) Uste dut Microsoft-ek lehenetsitako erregistro-maila hau gaitu beharko lukeela. Hori dela eta, erregistro hedatua gaituta, Windows-eko gertaeren erregistroan ikusiko dugu PS gidoi batetik deskarga-eskaera osatua, goian aipatu dugun adibidearen arabera. Horregatik, zentzuzkoa da aktibatzea, ez al zaude ados?
Gehi ditzagun eszenatoki gehigarriak
Hackerrek PowerShell-en erasoak ongi ezkutatzen dituzte Visual Basic-en eta beste gidoi-lengoai batzuetan idatzitako Microsoft Office makroetan. Ideia da biktimak mezu bat jasotzea, entrega-zerbitzu batetik, adibidez, .doc formatuan erantsitako txosten batekin. Makroa duen dokumentu hau irekitzen duzu eta PowerShell gaiztoa bera abiarazten du.
Askotan Visual Basic script-a bera lausotuta dago, birusen aurkako eta bestelako malware-eskanerrak libreki saihestu ditzan. Aurrekoaren izpirituan, goiko PowerShell JavaScript-en kodetzea erabaki nuen ariketa gisa. Hona hemen nire lanaren emaitzak:
JavaScript lausotua gure PowerShell ezkutatzen du. Benetako hacker-ek hau behin edo bitan egiten dute.
Hau da sarean flotatzen ikusi dudan beste teknika bat: Wscript.Shell erabiltzea PowerShell kodetua exekutatzeko. Bide batez, JavaScript bera da malwarearen entrega. Windows-en bertsio askok barneratuta dute , berak JS exekutatu dezake.
Gure kasuan, JS script gaiztoa .doc.js luzapena duen fitxategi gisa txertatzen da. Windows-ek normalean lehenengo atzizkia bakarrik erakutsiko du, beraz biktimari Word dokumentu gisa agertuko zaio.
JS ikonoa korritze ikonoan bakarrik agertzen da. Ez da harritzekoa jende askok eranskin hau irekitzea Word dokumentu bat dela pentsatuz.
Nire adibidean, goiko PowerShell aldatu nuen nire webgunetik scripta deskargatzeko. Urruneko PS gidoiak "Evil Malware" inprimatzen du. Ikusten duzunez, ez da batere gaiztoa. Jakina, benetako hacker-ek ordenagailu eramangarri edo zerbitzari baterako sarbidea lortzeko interesa dute, esate baterako, komando shell baten bidez. Hurrengo artikuluan, PowerShell Empire erabiliz hau nola egin erakutsiko dizut.
Espero dut lehenengo sarrera-artikulurako gaian gehiegi sakondu ez izana. Orain arnasa hartzen utziko dizut, eta hurrengoan fitxategirik gabeko malwarea erabiltzen duten erasoen adibide errealak aztertzen hasiko gara alferrikako sarrera-hitz edo prestaketarik gabe.
Iturria: www.habr.com