Tällä artikkelilla aloitamme julkaisusarjan vaikeasti havaittavista haittaohjelmista. Tiedostottomat hakkerointiohjelmat, jotka tunnetaan myös nimellä tiedostottomat hakkerointiohjelmat, käyttävät tyypillisesti PowerShellia Windows-järjestelmissä suorittamaan äänettömästi komentoja arvokkaan sisällön etsimiseksi ja purkamiseksi. Hakkeritoiminnan havaitseminen ilman haitallisia tiedostoja on vaikea tehtävä, koska... virustorjunta ja monet muut tunnistusjärjestelmät toimivat allekirjoitusanalyysin perusteella. Mutta hyvä uutinen on, että tällaisia ohjelmistoja on olemassa. Esimerkiksi, , joka pystyy havaitsemaan haitallisen toiminnan tiedostojärjestelmissä.
Kun aloin tutkia hakkereiden aihetta, , mutta vain uhrin tietokoneella olevat työkalut ja ohjelmistot, en tiennyt, että tästä tulisi pian suosittu hyökkäystapa. Turvallisuuden ammattilaiset että tästä on tulossa trendi, ja - vahvistus tälle. Siksi päätin tehdä sarjan julkaisuja tästä aiheesta.
Suuri ja tehokas PowerShell
Olen kirjoittanut joistakin näistä ideoista aiemmin , mutta perustuu enemmän teoreettiseen käsitykseen. Myöhemmin törmäsin , josta löydät näytteitä luonnosta ”pyydettyistä” haittaohjelmista. Päätin kokeilla tätä sivustoa löytääkseni näytteitä tiedostottomista haittaohjelmista. Ja onnistuin. Muuten, jos haluat lähteä omalle haittaohjelmien metsästysretkelle, sinun on hankittava vahvistus tältä sivustolta, jotta he tietävät, että teet työtäsi valkohattu-asiantuntijana. Turvabloggaajana läpäisin sen ilman kyselyä. Olen varma, että sinäkin pystyt.
Itse näytteiden lisäksi sivustolla voit nähdä, mitä nämä ohjelmat tekevät. Hybridianalyysi ajaa haittaohjelmia omassa hiekkalaatikossaan ja valvoo järjestelmäkutsuja, käynnissä olevia prosesseja ja verkkotoimintaa sekä poimii epäilyttäviä tekstijonoja. Binaaritiedostoille ja muille suoritettaville tiedostoille, esim. jos et voi edes katsoa varsinaista korkean tason koodia, hybridianalyysi päättää, onko ohjelmisto haitallinen vai vain epäilyttävä sen ajonaikaisen toiminnan perusteella. Ja sen jälkeen näyte on jo arvioitu.
PowerShellin ja muiden esimerkkiskriptien (Visual Basic, JavaScript jne.) tapauksessa pystyin näkemään itse koodin. Esimerkiksi törmäsin tähän PowerShell-instanssiin:
Voit myös suorittaa PowerShellin base64-koodauksella tunnistamisen välttämiseksi. Huomaa ei-vuorovaikutteisten ja piilotettujen parametrien käyttö.
Jos olet lukenut hämärtämistä koskevia viestejäni, tiedät, että -e-vaihtoehto määrittää, että sisältö on base64-koodattu. Muuten, hybridianalyysi auttaa myös tässä purkamalla kaiken takaisin. Jos haluat kokeilla base64 PowerShellin (jäljempänä PS) dekoodausta itse, sinun on suoritettava tämä komento:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Mennä syvemmälle
Dekoodasin PS-skriptimme tällä menetelmällä, alla on ohjelman teksti, vaikkakin itse hieman muokannut:
Huomaa, että komentosarja oli sidottu päivämäärään 4. syyskuuta 2017 ja se välitti istuntoevästeitä.
Kirjoitin tästä hyökkäystyylistä vuonna , jossa base64-koodattu komentosarja itse latautuu puuttuu haittaohjelma toisesta sivustosta käyttämällä .Net Framework -kirjaston WebClient-objektia raskaiden nostojen suorittamiseen.
Mitä se tekee?
Suojausohjelmiston, joka tarkistaa Windowsin tapahtumalokeja tai palomuureja, base64-koodaus estää "WebClient"-merkkijonoa havaitsemasta pelkällä tekstikuviolla suojatakseen tällaisen verkkopyynnön tekemisen. Ja koska kaikki haittaohjelmien "pahuus" ladataan ja välitetään PowerShelliimme, tämä lähestymistapa antaa meille mahdollisuuden välttää havaitseminen kokonaan. Tai pikemminkin näin ajattelin aluksi.
Osoittautuu, että kun Windows PowerShell Advanced Logging on käytössä (katso artikkelini), voit nähdä ladatun rivin tapahtumalokissa. olen kuin ) Mielestäni Microsoftin pitäisi ottaa oletuksena käyttöön tämä kirjaustaso. Siksi, kun laajennettu kirjaus on käytössä, näemme Windowsin tapahtumalokissa valmiin latauspyynnön PS-komentosarjasta yllä käsitellyn esimerkin mukaisesti. Siksi on järkevää aktivoida se, etkö ole samaa mieltä?
Lisätään lisää skenaarioita
Hakkerit piilottavat PowerShell-hyökkäykset taitavasti Visual Basicilla ja muilla komentosarjakielillä kirjoitetuissa Microsoft Office -makroissa. Ideana on, että uhri saa esimerkiksi jakelupalvelusta viestin, jonka liitteenä on .doc-muotoinen raportti. Avaat tämän makron sisältävän asiakirjan, ja se käynnistää itse haitallisen PowerShellin.
Usein Visual Basic -skripti itsessään on hämärtynyt niin, että se kiertää vapaasti virustorjunta- ja muut haittaohjelmatarkistukset. Yllä olevan hengessä päätin koodata yllä olevan PowerShellin harjoituksena JavaScriptillä. Alla työni tulokset:
Hämärtynyt JavaScript piilottaa PowerShellimme. Todelliset hakkerit tekevät tämän kerran tai kahdesti.
Tämä on toinen tekniikka, jonka olen nähnyt kelluvan verkossa: Wscript.Shellin käyttäminen koodatun PowerShellin suorittamiseen. Muuten, JavaScript itsessään on haittaohjelmien toimittaminen. Monissa Windows-versioissa on sisäänrakennettu , joka itse voi ajaa JS:ää.
Tässä tapauksessa haitallinen JS-komentosarja on upotettu tiedostoksi, jonka tunniste on .doc.js. Windows näyttää yleensä vain ensimmäisen jälkiliitteen, joten se näkyy uhrille Word-asiakirjana.
JS-kuvake näkyy vain vierityskuvakkeessa. Ei ole yllättävää, että monet ihmiset avaavat tämän liitteen luullen sen olevan Word-asiakirja.
Esimerkissäni muokkasin yllä olevaa PowerShellia ladataksesi komentosarjan verkkosivustoltani. Etä-PS-skripti tulostaa vain "Evil Malware". Kuten näette, hän ei ole ollenkaan paha. Tietenkin todelliset hakkerit ovat kiinnostuneita pääsemään kannettavaan tietokoneeseen tai palvelimeen vaikkapa komentokuoren kautta. Seuraavassa artikkelissa näytän sinulle, kuinka tämä tehdään PowerShell Empiren avulla.
Toivon, että ensimmäisessä johdantoartikkelissa emme sukeltaneet liian syvälle aiheeseen. Nyt annan sinun vetää henkeä, ja seuraavalla kerralla alamme tarkastella todellisia esimerkkejä hyökkäyksistä, joissa käytetään tiedostottomia haittaohjelmia ilman tarpeettomia johdantosanoja tai valmisteluja.
Lähde: will.com