Mei dit artikel begjinne wy in searje publikaasjes oer ûngrypbere malware. Fileless hackingprogramma's, ek wol bestânleaze hackingprogramma's neamd, brûke typysk PowerShell op Windows-systemen om kommando's stil út te fieren om weardefolle ynhâld te sykjen en te ekstrahearjen. It opspoaren fan hackeraktiviteit sûnder kweade bestannen is in drege taak, om't ... antiviruses en in protte oare deteksjesystemen wurkje basearre op hantekeninganalyse. Mar it goede nijs is dat sokke software bestiet. Bygelyks,
Doe't ik foar it earst begon te ûndersykjen nei it ûnderwerp fan badass hackers,
De grutte en krêftige PowerShell
Ik haw earder skreaun oer guon fan dizze ideeën yn
Neist de samples sels kinne jo op 'e side sjen wat dizze programma's dogge. Hybride analyse rint malware yn syn eigen sânbak en kontrolearret systeemoproppen, rinnende prosessen en netwurkaktiviteit, en ekstrakt fertochte tekststrings. Foar binaries en oare útfierbere triemmen, d.w.s. wêr kinst net iens sjen op de eigentlike hege-nivo koade, hybride analyze beslút oft de software is kwea-aardich of gewoan fertocht basearre op syn runtime aktiviteit. En dêrnei is de stekproef al evaluearre.
Yn it gefal fan PowerShell en oare foarbyldskripts (Visual Basic, JavaScript, ensfh.), Ik koe de koade sels sjen. Bygelyks, ik kaam dizze PowerShell-eksimplaar tsjin:
Jo kinne ek PowerShell útfiere yn base64-kodearring om deteksje te foarkommen. Opmerking it gebrûk fan net-ynteraktive en ferburgen parameters.
As jo myn berjochten oer obfuscaasje hawwe lêzen, dan wite jo dat de -e-opsje spesifisearret dat de ynhâld base64 kodearre is. Trouwens, hybride analyze helpt hjir ek by troch alles werom te dekodearjen. As jo sels besykje wolle om base64 PowerShell (hjirnei oantsjutten as PS) sels te dekodearjen, moatte jo dit kommando útfiere:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Gean djipper
Ik haw ús PS-skript dekodearre mei dizze metoade, hjirûnder is de tekst fan it programma, hoewol in bytsje troch my oanpast:
Tink derom dat it skript wie bûn oan de datum 4 septimber 2017 en oerdroegen sesjekoekjes.
Ik skreau oer dizze styl fan oanfal yn
Wat docht it?
Foar befeiligingssoftware dy't Windows-evenemintlogboeken of firewalls skennen, foarkomt base64-kodearring dat de tekenrige "WebClient" ûntdutsen wurdt troch in platte tekstpatroan om te beskermjen tsjin it meitsjen fan sa'n weboanfraach. En om't al it "kwea" fan 'e malware dan wurdt ynladen en trochjûn yn ús PowerShell, lit dizze oanpak ús dus folslein ûntdutsen. Of leaver, dat tocht ik earst.
It docht bliken dat mei Windows PowerShell Advanced Logging ynskeakele (sjoch myn artikel), jo de laden line kinne sjen yn it barrenslog. ik bin like
Litte wy ekstra senario's tafoegje
Hackers ferbergje tûk PowerShell-oanfallen yn Microsoft Office-makro's skreaun yn Visual Basic en oare skripttalen. It idee is dat it slachtoffer in berjocht krijt, bygelyks fan in bezorgdienst, mei dêrby in rapport yn .doc-formaat. Jo iepenje dit dokumint dat de makro befettet, en it einiget mei it lansearjen fan de kweade PowerShell sels.
Faak wurdt it Visual Basic-skript sels ferburgen, sadat it frij antivirus en oare malware-scanners ûntwykt. Yn 'e geast fan it boppesteande besleat ik de boppesteande PowerShell yn JavaScript te koade as oefening. Hjirûnder binne de resultaten fan myn wurk:
Obfuscated JavaScript ferberget ús PowerShell. Echte hackers dogge dit ien of twa kear.
Dit is in oare technyk dy't ik op it web driuwen haw sjoen: Wscript.Shell brûke om kodearre PowerShell út te fieren. Trouwens, JavaScript sels is
Yn ús gefal is it kweade JS-skript ynbêde as in bestân mei de .doc.js-útwreiding. Windows sil typysk allinich it earste efterheaksel sjen litte, sadat it oan it slachtoffer ferskynt as in Word-dokumint.
It JS-ikoan ferskynt allinich yn it rôlbyldkaike. It is net ferrassend dat in protte minsken dizze taheaksel sille iepenje en tinke dat it in Word-dokumint is.
Yn myn foarbyld haw ik de PowerShell hjirboppe wizige om it skript fan myn webside te downloaden. It PS-skript op ôfstân printet gewoan "Evil Malware". Sa't jo sjen kinne, hy is hielendal net kwea. Fansels binne echte hackers ynteressearre om tagong te krijen ta in laptop of server, sizze, fia in kommando-shell. Yn it folgjende artikel sil ik jo sjen litte hoe't jo dit kinne dwaan mei PowerShell Empire.
Ik hoopje dat wy foar it earste ynliedende artikel net te djip yn it ûnderwerp dûke. No lit ik jo in azem nimme, en de folgjende kear sille wy begjinne te sjen nei echte foarbylden fan oanfallen mei help fan fileless malware sûnder ûnnedige ynliedende wurden of tarieding.
Boarne: www.habr.com