Mei dit artikel begjinne wy in searje publikaasjes oer ûngrypbere malware. Fileless hackingprogramma's, ek wol bestânleaze hackingprogramma's neamd, brûke typysk PowerShell op Windows-systemen om kommando's stil út te fieren om weardefolle ynhâld te sykjen en te ekstrahearjen. It opspoaren fan hackeraktiviteit sûnder kweade bestannen is in drege taak, om't ... antiviruses en in protte oare deteksjesystemen wurkje basearre op hantekeninganalyse. Mar it goede nijs is dat sokke software bestiet. Bygelyks, , yn steat om kweade aktiviteit yn bestânssystemen te detektearjen.
Doe't ik foar it earst begon te ûndersykjen nei it ûnderwerp fan badass hackers, , mar allinich de ark en software beskikber op 'e kompjûter fan it slachtoffer, hie ik gjin idee dat dit gau in populêre metoade fan oanfal wurde soe. Feiligens Professionals dat dit wurdt in trend, en - befêstiging fan dit. Dêrom haw ik besletten om in searje publikaasjes oer dit ûnderwerp te meitsjen.
De grutte en krêftige PowerShell
Ik haw earder skreaun oer guon fan dizze ideeën yn , mar mear basearre op in teoretysk konsept. Letter kaam ik tsjin , wêr kinne jo samples fan malware fine "fongen" yn it wyld. Ik besleat om te besykjen dizze side te brûken om samples fan fileless malware te finen. En it is my slagge. Trouwens, as jo op jo eigen malware-jachtekspedysje wolle gean, moatte jo ferifiearre wurde troch dizze side, sadat se witte dat jo it wurk dogge as in wite hoed-spesjalist. As feiligensblogger haw ik it sûnder fraach trochjûn. Ik bin der wis fan dat jo ek kinne.
Neist de samples sels kinne jo op 'e side sjen wat dizze programma's dogge. Hybride analyse rint malware yn syn eigen sânbak en kontrolearret systeemoproppen, rinnende prosessen en netwurkaktiviteit, en ekstrakt fertochte tekststrings. Foar binaries en oare útfierbere triemmen, d.w.s. wêr kinst net iens sjen op de eigentlike hege-nivo koade, hybride analyze beslút oft de software is kwea-aardich of gewoan fertocht basearre op syn runtime aktiviteit. En dêrnei is de stekproef al evaluearre.
Yn it gefal fan PowerShell en oare foarbyldskripts (Visual Basic, JavaScript, ensfh.), Ik koe de koade sels sjen. Bygelyks, ik kaam dizze PowerShell-eksimplaar tsjin:
Jo kinne ek PowerShell útfiere yn base64-kodearring om deteksje te foarkommen. Opmerking it gebrûk fan net-ynteraktive en ferburgen parameters.
As jo myn berjochten oer obfuscaasje hawwe lêzen, dan wite jo dat de -e-opsje spesifisearret dat de ynhâld base64 kodearre is. Trouwens, hybride analyze helpt hjir ek by troch alles werom te dekodearjen. As jo sels besykje wolle om base64 PowerShell (hjirnei oantsjutten as PS) sels te dekodearjen, moatte jo dit kommando útfiere:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Gean djipper
Ik haw ús PS-skript dekodearre mei dizze metoade, hjirûnder is de tekst fan it programma, hoewol in bytsje troch my oanpast:
Tink derom dat it skript wie bûn oan de datum 4 septimber 2017 en oerdroegen sesjekoekjes.
Ik skreau oer dizze styl fan oanfal yn , wêryn it base64 kodearre skript sels laden mist malware fan in oare side, mei it WebClient-objekt fan 'e .Net Framework-bibleteek om de swiere opheffing te dwaan.
Wat docht it?
Foar befeiligingssoftware dy't Windows-evenemintlogboeken of firewalls skennen, foarkomt base64-kodearring dat de tekenrige "WebClient" ûntdutsen wurdt troch in platte tekstpatroan om te beskermjen tsjin it meitsjen fan sa'n weboanfraach. En om't al it "kwea" fan 'e malware dan wurdt ynladen en trochjûn yn ús PowerShell, lit dizze oanpak ús dus folslein ûntdutsen. Of leaver, dat tocht ik earst.
It docht bliken dat mei Windows PowerShell Advanced Logging ynskeakele (sjoch myn artikel), jo de laden line kinne sjen yn it barrenslog. ik bin like ) Ik tink dat Microsoft dit nivo fan logging standert ynskeakelje moat. Dêrom, mei útwreide logging ynskeakele, sille wy yn it Windows-evenemintlog in foltôge downloadfersyk sjen fan in PS-skript neffens it foarbyld dat wy hjirboppe besprutsen. Dêrom makket it sin om it te aktivearjen, binne jo it net iens?
Litte wy ekstra senario's tafoegje
Hackers ferbergje tûk PowerShell-oanfallen yn Microsoft Office-makro's skreaun yn Visual Basic en oare skripttalen. It idee is dat it slachtoffer in berjocht krijt, bygelyks fan in bezorgdienst, mei dêrby in rapport yn .doc-formaat. Jo iepenje dit dokumint dat de makro befettet, en it einiget mei it lansearjen fan de kweade PowerShell sels.
Faak wurdt it Visual Basic-skript sels ferburgen, sadat it frij antivirus en oare malware-scanners ûntwykt. Yn 'e geast fan it boppesteande besleat ik de boppesteande PowerShell yn JavaScript te koade as oefening. Hjirûnder binne de resultaten fan myn wurk:
Obfuscated JavaScript ferberget ús PowerShell. Echte hackers dogge dit ien of twa kear.
Dit is in oare technyk dy't ik op it web driuwen haw sjoen: Wscript.Shell brûke om kodearre PowerShell út te fieren. Trouwens, JavaScript sels is levering fan malware. In protte ferzjes fan Windows hawwe ynboude , dy't sels JS útfiere kin.
Yn ús gefal is it kweade JS-skript ynbêde as in bestân mei de .doc.js-útwreiding. Windows sil typysk allinich it earste efterheaksel sjen litte, sadat it oan it slachtoffer ferskynt as in Word-dokumint.
It JS-ikoan ferskynt allinich yn it rôlbyldkaike. It is net ferrassend dat in protte minsken dizze taheaksel sille iepenje en tinke dat it in Word-dokumint is.
Yn myn foarbyld haw ik de PowerShell hjirboppe wizige om it skript fan myn webside te downloaden. It PS-skript op ôfstân printet gewoan "Evil Malware". Sa't jo sjen kinne, hy is hielendal net kwea. Fansels binne echte hackers ynteressearre om tagong te krijen ta in laptop of server, sizze, fia in kommando-shell. Yn it folgjende artikel sil ik jo sjen litte hoe't jo dit kinne dwaan mei PowerShell Empire.
Ik hoopje dat wy foar it earste ynliedende artikel net te djip yn it ûnderwerp dûke. No lit ik jo in azem nimme, en de folgjende kear sille wy begjinne te sjen nei echte foarbylden fan oanfallen mei help fan fileless malware sûnder ûnnedige ynliedende wurden of tarieding.
Boarne: www.habr.com