Artikulu honekin malware iheskorrari buruzko argitalpen sorta bat hasiko dugu. Fitxategirik gabeko hacking programek, fitxategirik gabeko hacking programak bezala ere ezagunak, normalean PowerShell erabiltzen dute Windows sistemetan, eduki baliotsua bilatzeko eta ateratzeko komandoak isilean exekutatzeko. Fitxategi maltzurrik gabe hackerren jarduera detektatzea lan zaila da, zeren... birusen aurkakoek eta beste detekzio sistema askok sinadura-analisian oinarrituta funtzionatzen dute. Baina albiste ona da horrelako softwarea existitzen dela. Adibidez,
Hacker gaiztoen gaia ikertzen hasi nintzenean,
PowerShell Handi eta Indartsua
Ideia hauetariko batzuei buruz idatzi dut aurretik
Laginez gain, programa hauek zer egiten duten ikus dezakezu gunean. Analisi hibridoak malwarea bere sandbox-ean exekutatzen du eta sistema-deiak, exekutatzen diren prozesuak eta sareko jarduerak kontrolatzen ditu eta testu-kate susmagarriak ateratzen ditu. Binarioetarako eta beste fitxategi exekutagarrietarako, hau da. non ezin duzun benetako maila altuko kodea begiratu ere egin, analisi hibridoak erabakitzen du softwarea gaiztoa den ala susmagarria den bere exekuzio-jardueraren arabera. Eta horren ondoren lagina dagoeneko ebaluatzen da.
PowerShell eta beste lagin script batzuen kasuan (Visual Basic, JavaScript, etab.), kodea bera ikusi ahal izan dut. Adibidez, PowerShell instantzia hau topatu nuen:
PowerShell base64 kodetzean ere exekutatu dezakezu detekzioa saihesteko. Kontuan izan interaktiborik gabeko eta ezkutuko parametroen erabilera.
Ofuskazioari buruzko nire mezuak irakurri badituzu, badakizu -e aukerak zehazten duela edukia base64 kodetuta dagoela. Bide batez, analisi hibridoak ere horretan laguntzen du dena atzera deskodetuz. Base64 PowerShell (aurrerantzean PS) dekodetzen saiatu nahi baduzu, komando hau exekutatu behar duzu:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Sakonago joan
Gure PS script-a metodo hau erabiliz deskodetu nuen, behean programaren testua dago, nik apur bat aldatu arren:
Kontuan izan gidoia 4ko irailaren 2017ko datarekin lotuta zegoela eta saioko cookieak transmititu zituela.
Eraso estilo honi buruz idatzi nuen
Zer egiten du?
Windows gertaeren erregistroak edo suebakiak eskaneatzen dituen segurtasun-softwarearentzat, base64 kodeketak "WebClient" katea testu arruntaren eredu batek detektatzea eragozten du, web-eskaera hori egiteaz babesteko. Eta malwarearen "gaizto" guztiak deskargatu eta gure PowerShell-era pasatzen direnez, ikuspegi honek detekzioa guztiz saihesteko aukera ematen digu. Edo hobeto esanda, horixe pentsatu nuen hasieran.
Bihurtzen da Windows PowerShell erregistro aurreratua gaituta (ikusi nire artikulua), gertaeren erregistroan kargatutako lerroa ikusi ahal izango duzula. bezalakoa naiz
Gehi ditzagun eszenatoki gehigarriak
Hackerrek PowerShell-en erasoak ongi ezkutatzen dituzte Visual Basic-en eta beste gidoi-lengoai batzuetan idatzitako Microsoft Office makroetan. Ideia da biktimak mezu bat jasotzea, entrega-zerbitzu batetik, adibidez, .doc formatuan erantsitako txosten batekin. Makroa duen dokumentu hau irekitzen duzu eta PowerShell gaiztoa bera abiarazten du.
Askotan Visual Basic script-a bera lausotuta dago, birusen aurkako eta bestelako malware-eskanerrak libreki saihestu ditzan. Aurrekoaren izpirituan, goiko PowerShell JavaScript-en kodetzea erabaki nuen ariketa gisa. Hona hemen nire lanaren emaitzak:
JavaScript lausotua gure PowerShell ezkutatzen du. Benetako hacker-ek hau behin edo bitan egiten dute.
Hau da sarean flotatzen ikusi dudan beste teknika bat: Wscript.Shell erabiltzea PowerShell kodetua exekutatzeko. Bide batez, JavaScript bera da
Gure kasuan, JS script gaiztoa .doc.js luzapena duen fitxategi gisa txertatzen da. Windows-ek normalean lehenengo atzizkia bakarrik erakutsiko du, beraz biktimari Word dokumentu gisa agertuko zaio.
JS ikonoa korritze ikonoan bakarrik agertzen da. Ez da harritzekoa jende askok eranskin hau irekitzea Word dokumentu bat dela pentsatuz.
Nire adibidean, goiko PowerShell aldatu nuen nire webgunetik scripta deskargatzeko. Urruneko PS gidoiak "Evil Malware" inprimatzen du. Ikusten duzunez, ez da batere gaiztoa. Jakina, benetako hacker-ek ordenagailu eramangarri edo zerbitzari baterako sarbidea lortzeko interesa dute, esate baterako, komando shell baten bidez. Hurrengo artikuluan, PowerShell Empire erabiliz hau nola egin erakutsiko dizut.
Espero dut lehenengo sarrera-artikulurako gaian gehiegi sakondu ez izana. Orain arnasa hartzen utziko dizut, eta hurrengoan fitxategirik gabeko malwarea erabiltzen duten erasoen adibide errealak aztertzen hasiko gara alferrikako sarrera-hitz edo prestaketarik gabe.
Iturria: www.habr.com