Tällä artikkelilla aloitamme julkaisusarjan vaikeasti havaittavista haittaohjelmista. Tiedostottomat hakkerointiohjelmat, jotka tunnetaan myös nimellä tiedostottomat hakkerointiohjelmat, käyttävät tyypillisesti PowerShellia Windows-järjestelmissä suorittamaan äänettömästi komentoja arvokkaan sisällön etsimiseksi ja purkamiseksi. Hakkeritoiminnan havaitseminen ilman haitallisia tiedostoja on vaikea tehtävä, koska... virustorjunta ja monet muut tunnistusjärjestelmät toimivat allekirjoitusanalyysin perusteella. Mutta hyvä uutinen on, että tällaisia ohjelmistoja on olemassa. Esimerkiksi,
Kun aloin tutkia hakkereiden aihetta,
Suuri ja tehokas PowerShell
Olen kirjoittanut joistakin näistä ideoista aiemmin
Itse näytteiden lisäksi sivustolla voit nähdä, mitä nämä ohjelmat tekevät. Hybridianalyysi ajaa haittaohjelmia omassa hiekkalaatikossaan ja valvoo järjestelmäkutsuja, käynnissä olevia prosesseja ja verkkotoimintaa sekä poimii epäilyttäviä tekstijonoja. Binaaritiedostoille ja muille suoritettaville tiedostoille, esim. jos et voi edes katsoa varsinaista korkean tason koodia, hybridianalyysi päättää, onko ohjelmisto haitallinen vai vain epäilyttävä sen ajonaikaisen toiminnan perusteella. Ja sen jälkeen näyte on jo arvioitu.
PowerShellin ja muiden esimerkkiskriptien (Visual Basic, JavaScript jne.) tapauksessa pystyin näkemään itse koodin. Esimerkiksi törmäsin tähän PowerShell-instanssiin:
Voit myös suorittaa PowerShellin base64-koodauksella tunnistamisen välttämiseksi. Huomaa ei-vuorovaikutteisten ja piilotettujen parametrien käyttö.
Jos olet lukenut hämärtämistä koskevia viestejäni, tiedät, että -e-vaihtoehto määrittää, että sisältö on base64-koodattu. Muuten, hybridianalyysi auttaa myös tässä purkamalla kaiken takaisin. Jos haluat kokeilla base64 PowerShellin (jäljempänä PS) dekoodausta itse, sinun on suoritettava tämä komento:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Mennä syvemmälle
Dekoodasin PS-skriptimme tällä menetelmällä, alla on ohjelman teksti, vaikkakin itse hieman muokannut:
Huomaa, että komentosarja oli sidottu päivämäärään 4. syyskuuta 2017 ja se välitti istuntoevästeitä.
Kirjoitin tästä hyökkäystyylistä vuonna
Mitä se tekee?
Suojausohjelmiston, joka tarkistaa Windowsin tapahtumalokeja tai palomuureja, base64-koodaus estää "WebClient"-merkkijonoa havaitsemasta pelkällä tekstikuviolla suojatakseen tällaisen verkkopyynnön tekemisen. Ja koska kaikki haittaohjelmien "pahuus" ladataan ja välitetään PowerShelliimme, tämä lähestymistapa antaa meille mahdollisuuden välttää havaitseminen kokonaan. Tai pikemminkin näin ajattelin aluksi.
Osoittautuu, että kun Windows PowerShell Advanced Logging on käytössä (katso artikkelini), voit nähdä ladatun rivin tapahtumalokissa. olen kuin
Lisätään lisää skenaarioita
Hakkerit piilottavat PowerShell-hyökkäykset taitavasti Visual Basicilla ja muilla komentosarjakielillä kirjoitetuissa Microsoft Office -makroissa. Ideana on, että uhri saa esimerkiksi jakelupalvelusta viestin, jonka liitteenä on .doc-muotoinen raportti. Avaat tämän makron sisältävän asiakirjan, ja se käynnistää itse haitallisen PowerShellin.
Usein Visual Basic -skripti itsessään on hämärtynyt niin, että se kiertää vapaasti virustorjunta- ja muut haittaohjelmatarkistukset. Yllä olevan hengessä päätin koodata yllä olevan PowerShellin harjoituksena JavaScriptillä. Alla työni tulokset:
Hämärtynyt JavaScript piilottaa PowerShellimme. Todelliset hakkerit tekevät tämän kerran tai kahdesti.
Tämä on toinen tekniikka, jonka olen nähnyt kelluvan verkossa: Wscript.Shellin käyttäminen koodatun PowerShellin suorittamiseen. Muuten, JavaScript itsessään on
Tässä tapauksessa haitallinen JS-komentosarja on upotettu tiedostoksi, jonka tunniste on .doc.js. Windows näyttää yleensä vain ensimmäisen jälkiliitteen, joten se näkyy uhrille Word-asiakirjana.
JS-kuvake näkyy vain vierityskuvakkeessa. Ei ole yllättävää, että monet ihmiset avaavat tämän liitteen luullen sen olevan Word-asiakirja.
Esimerkissäni muokkasin yllä olevaa PowerShellia ladataksesi komentosarjan verkkosivustoltani. Etä-PS-skripti tulostaa vain "Evil Malware". Kuten näette, hän ei ole ollenkaan paha. Tietenkin todelliset hakkerit ovat kiinnostuneita pääsemään kannettavaan tietokoneeseen tai palvelimeen vaikkapa komentokuoren kautta. Seuraavassa artikkelissa näytän sinulle, kuinka tämä tehdään PowerShell Empiren avulla.
Toivon, että ensimmäisessä johdantoartikkelissa emme sukeltaneet liian syvälle aiheeseen. Nyt annan sinun vetää henkeä, ja seuraavalla kerralla alamme tarkastella todellisia esimerkkejä hyökkäyksistä, joissa käytetään tiedostottomia haittaohjelmia ilman tarpeettomia johdantosanoja tai valmisteluja.
Lähde: will.com