Leis an artaigil seo bidh sinn a’ tòiseachadh sreath de dh’ fhoillseachaidhean mu malware so-ruigsinneach. Mar as trice bidh prògraman hacaidh gun fhaidhle, ris an canar cuideachd prògraman hacaidh gun fhaidhle, a’ cleachdadh PowerShell air siostaman Windows gus òrdughan a ruith gu sàmhach gus susbaint luachmhor a lorg agus a tharraing. Is e obair dhoirbh a th’ ann a bhith a’ lorg gnìomhachd hacker às aonais faidhlichean droch-rùnach, leis gu bheil... Bidh antiviruses agus mòran de shiostaman lorg eile ag obair stèidhichte air mion-sgrùdadh ainmean-sgrìobhte. Ach is e an deagh naidheachd gu bheil bathar-bog mar sin ann. Mar eisimpleir,
Nuair a thòisich mi an toiseach a’ rannsachadh cuspair badass hackers,
An PowerShell Mòr agus Cumhachdach
Tha mi air cuid de na beachdan sin a sgrìobhadh roimhe ann an
A bharrachd air na sampallan fhèin, air an làrach chì thu dè a bhios na prògraman sin a’ dèanamh. Bidh mion-sgrùdadh tar-chinealach a’ ruith malware anns a ’bhogsa gainmhich aige fhèin agus a’ cumail sùil air fiosan siostaim, a ’ruith phròiseasan agus gnìomhachd lìonra, agus a’ toirt a-mach sreangan teacsa amharasach. Airson binaries agus faidhlichean so-ghnìomhaichte eile, i.e. far nach urrainn dhut eadhon coimhead air a’ chòd àrd-ìre fhèin, bidh mion-sgrùdadh tar-chinealach a’ co-dhùnadh a bheil am bathar-bog droch-rùnach no dìreach amharasach stèidhichte air a ghnìomhachd runtime. Agus às deidh sin tha an sampall air a mheasadh mu thràth.
A thaobh PowerShell agus sgriobtaichean sampaill eile (Visual Basic, JavaScript, msaa), bha e comasach dhomh an còd fhèin fhaicinn. Mar eisimpleir, thàinig mi tarsainn air an eisimpleir PowerShell seo:
Faodaidh tu cuideachd PowerShell a ruith ann an còdachadh base64 gus lorg a sheachnadh. Thoir fa-near cleachdadh paramadairean neo-eadar-ghnìomhach agus falaichte.
Ma leugh thu na puist agam air obfuscation, tha fios agad gu bheil an roghainn -e a’ sònrachadh gu bheil an susbaint air a chòdachadh le base64. Co-dhiù, bidh mion-sgrùdadh tar-chinealach cuideachd a’ cuideachadh le seo le bhith a’ còdachadh a h-uile càil air ais. Ma tha thu airson feuchainn ri còdachadh base64 PowerShell (ris an canar PS an-seo) thu fhèin, feumaidh tu an àithne seo a ruith:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Gabh nas doimhne
Chuir mi sìos an sgriobt PS againn a’ cleachdadh an dòigh seo, gu h-ìosal tha teacsa a’ phrògraim, ged a chaidh atharrachadh beagan leam:
Thoir an aire gun robh an sgriobt ceangailte ris a 'cheann-latha 4 Sultain, 2017 agus a' toirt seachad briosgaidean seisean.
Sgrìobh mi mun stoidhle ionnsaigh seo a-steach
Dè tha ea 'dèanamh?
Airson bathar-bog tèarainteachd a’ sganadh logaichean tachartais Windows no ballachan-teine, tha còdachadh base64 a’ cur casg air an t-sreang “WebClient” bho bhith air a lorg le pàtran teacsa sìmplidh gus dìon an aghaidh a leithid de dh’ iarrtas lìn. Agus leis gu bheil a h-uile “olc” den malware an uairsin air a luchdachadh sìos agus air a chuir a-steach don PowerShell againn, leigidh an dòigh-obrach seo leinn lorg fhaighinn air falbh gu tur. No an àite, sin na bha mi a’ smaoineachadh an toiseach.
Tha e a ’tionndadh a-mach, le Windows PowerShell Advanced Logadh air a chomasachadh (faic an artaigil agam), chì thu an loidhne luchdaichte ann an log an tachartais. Tha mi mar
Nach cuir sinn suidheachaidhean a bharrachd ris
Bidh hackers gu glic a’ falach ionnsaighean PowerShell ann am macros Microsoft Office sgrìobhte ann an Visual Basic agus cànanan sgrìobhaidh eile. Is e am beachd gum faigh an neach-fulang teachdaireachd, mar eisimpleir bho sheirbheis lìbhrigidh, le aithisg ceangailte ann an cruth .doc. Bidh thu a’ fosgladh an sgrìobhainn seo anns a bheil am macro, agus thig e gu crìch a’ cur air bhog an droch-rùnach PowerShell fhèin.
Gu tric bidh an sgriobt Visual Basic fhèin air a chuartachadh gus am bi e gu saor a’ seachnadh anti-bhìoras agus sganaran malware eile. Ann an spiorad na tha gu h-àrd, chuir mi romham an PowerShell gu h-àrd a chòdachadh ann an JavaScript mar eacarsaich. Gu h-ìosal tha toraidhean na h-obrach agam:
JavaScript obfuscated a’ falach ar PowerShell. Bidh fìor hackers a’ dèanamh seo uair no dhà.
Is e seo dòigh eile a chunnaic mi a’ seòladh timcheall an lìn: a’ cleachdadh Wscript.Shell gus PowerShell le còd a ruith. Air an t-slighe, tha JavaScript fhèin
Anns a’ chùis againn, tha an sgriobt JS droch-rùnach freumhaichte mar fhaidhle leis an leudachadh .doc.js. Mar as trice cha sheall Windows ach a’ chiad iar-leasachan, agus mar sin nochdaidh e don neach-fulang mar sgrìobhainn Word.
Chan eil an ìomhaigh JS a’ nochdadh ach anns an ìomhaigh scrollaidh. Chan eil e na iongnadh gum fosgail mòran dhaoine an ceangal seo a’ smaoineachadh gur e sgrìobhainn Word a th’ ann.
Anns an eisimpleir agam, dh’ atharraich mi an PowerShell gu h-àrd gus an sgriobt a luchdachadh sìos bhon làrach-lìn agam. Tha an sgriobt PS iomallach dìreach a 'clò-bhualadh "Evil Malware". Mar a chì thu, chan eil e olc idir. Gu dearbh, tha ùidh aig fìor luchd-tarraing ann a bhith a’ faighinn cothrom air laptop no frithealaiche, can, tro shlige àithne. Anns an ath artaigil, seallaidh mi dhut mar a nì thu seo a ’cleachdadh PowerShell Empire.
Tha mi an dòchas nach do rinn sinn dàibheadh ro dhomhainn air a’ chuspair airson a’ chiad artaigil tòiseachaidh. A-nis leigidh mi leat anail a ghabhail, agus an ath thuras tòisichidh sinn a 'coimhead air fìor eisimpleirean de dh' ionnsaighean a 'cleachdadh malware gun fhaidhle gun fhaclan tòiseachaidh no ullachadh neo-riatanach sam bith.
Source: www.habr.com