Leis an artaigil seo bidh sinn a’ tòiseachadh sreath de dh’ fhoillseachaidhean mu malware so-ruigsinneach. Mar as trice bidh prògraman hacaidh gun fhaidhle, ris an canar cuideachd prògraman hacaidh gun fhaidhle, a’ cleachdadh PowerShell air siostaman Windows gus òrdughan a ruith gu sàmhach gus susbaint luachmhor a lorg agus a tharraing. Is e obair dhoirbh a th’ ann a bhith a’ lorg gnìomhachd hacker às aonais faidhlichean droch-rùnach, leis gu bheil... Bidh antiviruses agus mòran de shiostaman lorg eile ag obair stèidhichte air mion-sgrùdadh ainmean-sgrìobhte. Ach is e an deagh naidheachd gu bheil bathar-bog mar sin ann. Mar eisimpleir, , comasach air gnìomhachd droch-rùnach a lorg ann an siostaman faidhle.
Nuair a thòisich mi an toiseach a’ rannsachadh cuspair badass hackers, , ach dìreach na h-innealan agus bathar-bog a bha rim faighinn air coimpiutair an neach-fulang, cha robh beachd sam bith agam gum biodh seo gu bhith na dhòigh ionnsaigh mòr-chòrdte a dh’ aithghearr. Proifeiseantaich tèarainteachd gu bheil seo a’ fàs na ghluasad, agus - dearbhadh air seo. Mar sin, chuir mi romhpa sreath de fhoillseachaidhean a dhèanamh air a’ chuspair seo.
An PowerShell Mòr agus Cumhachdach
Tha mi air cuid de na beachdan sin a sgrìobhadh roimhe ann an , ach nas stèidhichte air bun-bheachd teòiridheach. Nas fhaide air adhart thàinig mi tarsainn , far am faigh thu sampallan de malware “air an glacadh” san dùthaich. Cho-dhùin mi feuchainn ris an làrach seo a chleachdadh gus sampallan de malware gun fhaidhle a lorg. Agus shoirbhich leam. Co-dhiù, ma tha thu airson a dhol air turas seilge malware agad fhèin, feumaidh tu a bhith air do dhearbhadh leis an làrach seo gus am bi fios aca gu bheil thu a’ dèanamh na h-obrach mar eòlaiche ad geal. Mar bhlogar tèarainteachd, chuir mi seachad e gun cheist. Tha mi cinnteach gun urrainn dhut cuideachd.
A bharrachd air na sampallan fhèin, air an làrach chì thu dè a bhios na prògraman sin a’ dèanamh. Bidh mion-sgrùdadh tar-chinealach a’ ruith malware anns a ’bhogsa gainmhich aige fhèin agus a’ cumail sùil air fiosan siostaim, a ’ruith phròiseasan agus gnìomhachd lìonra, agus a’ toirt a-mach sreangan teacsa amharasach. Airson binaries agus faidhlichean so-ghnìomhaichte eile, i.e. far nach urrainn dhut eadhon coimhead air a’ chòd àrd-ìre fhèin, bidh mion-sgrùdadh tar-chinealach a’ co-dhùnadh a bheil am bathar-bog droch-rùnach no dìreach amharasach stèidhichte air a ghnìomhachd runtime. Agus às deidh sin tha an sampall air a mheasadh mu thràth.
A thaobh PowerShell agus sgriobtaichean sampaill eile (Visual Basic, JavaScript, msaa), bha e comasach dhomh an còd fhèin fhaicinn. Mar eisimpleir, thàinig mi tarsainn air an eisimpleir PowerShell seo:
Faodaidh tu cuideachd PowerShell a ruith ann an còdachadh base64 gus lorg a sheachnadh. Thoir fa-near cleachdadh paramadairean neo-eadar-ghnìomhach agus falaichte.
Ma leugh thu na puist agam air obfuscation, tha fios agad gu bheil an roghainn -e a’ sònrachadh gu bheil an susbaint air a chòdachadh le base64. Co-dhiù, bidh mion-sgrùdadh tar-chinealach cuideachd a’ cuideachadh le seo le bhith a’ còdachadh a h-uile càil air ais. Ma tha thu airson feuchainn ri còdachadh base64 PowerShell (ris an canar PS an-seo) thu fhèin, feumaidh tu an àithne seo a ruith:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Gabh nas doimhne
Chuir mi sìos an sgriobt PS againn a’ cleachdadh an dòigh seo, gu h-ìosal tha teacsa a’ phrògraim, ged a chaidh atharrachadh beagan leam:
Thoir an aire gun robh an sgriobt ceangailte ris a 'cheann-latha 4 Sultain, 2017 agus a' toirt seachad briosgaidean seisean.
Sgrìobh mi mun stoidhle ionnsaigh seo a-steach , anns a bheil an sgriobt còdaichte base64 fhèin a’ luchdachadh a dhìth malware bho làrach eile, a’ cleachdadh nì WebClient leabharlann .Net Framework gus an togail trom a dhèanamh.
Dè tha ea 'dèanamh?
Airson bathar-bog tèarainteachd a’ sganadh logaichean tachartais Windows no ballachan-teine, tha còdachadh base64 a’ cur casg air an t-sreang “WebClient” bho bhith air a lorg le pàtran teacsa sìmplidh gus dìon an aghaidh a leithid de dh’ iarrtas lìn. Agus leis gu bheil a h-uile “olc” den malware an uairsin air a luchdachadh sìos agus air a chuir a-steach don PowerShell againn, leigidh an dòigh-obrach seo leinn lorg fhaighinn air falbh gu tur. No an àite, sin na bha mi a’ smaoineachadh an toiseach.
Tha e a ’tionndadh a-mach, le Windows PowerShell Advanced Logadh air a chomasachadh (faic an artaigil agam), chì thu an loidhne luchdaichte ann an log an tachartais. Tha mi mar ) Tha mi a’ smaoineachadh gum bu chòir dha Microsoft an ìre logaidh seo a chomasachadh gu bunaiteach. Mar sin, le logadh leudaichte air a chomasachadh, chì sinn ann an loga tachartas Windows iarrtas luchdaich sìos crìochnaichte bho sgriobt PS a rèir an eisimpleir air an do bhruidhinn sinn gu h-àrd. Mar sin, tha e ciallach a ghnìomhachadh, nach eil thu ag aontachadh?
Nach cuir sinn suidheachaidhean a bharrachd ris
Bidh hackers gu glic a’ falach ionnsaighean PowerShell ann am macros Microsoft Office sgrìobhte ann an Visual Basic agus cànanan sgrìobhaidh eile. Is e am beachd gum faigh an neach-fulang teachdaireachd, mar eisimpleir bho sheirbheis lìbhrigidh, le aithisg ceangailte ann an cruth .doc. Bidh thu a’ fosgladh an sgrìobhainn seo anns a bheil am macro, agus thig e gu crìch a’ cur air bhog an droch-rùnach PowerShell fhèin.
Gu tric bidh an sgriobt Visual Basic fhèin air a chuartachadh gus am bi e gu saor a’ seachnadh anti-bhìoras agus sganaran malware eile. Ann an spiorad na tha gu h-àrd, chuir mi romham an PowerShell gu h-àrd a chòdachadh ann an JavaScript mar eacarsaich. Gu h-ìosal tha toraidhean na h-obrach agam:
JavaScript obfuscated a’ falach ar PowerShell. Bidh fìor hackers a’ dèanamh seo uair no dhà.
Is e seo dòigh eile a chunnaic mi a’ seòladh timcheall an lìn: a’ cleachdadh Wscript.Shell gus PowerShell le còd a ruith. Air an t-slighe, tha JavaScript fhèin lìbhrigeadh malware. Tha mòran dhreachan de Windows air an toirt a-steach , a dh'fhaodas e fhèin a ruith JS.
Anns a’ chùis againn, tha an sgriobt JS droch-rùnach freumhaichte mar fhaidhle leis an leudachadh .doc.js. Mar as trice cha sheall Windows ach a’ chiad iar-leasachan, agus mar sin nochdaidh e don neach-fulang mar sgrìobhainn Word.
Chan eil an ìomhaigh JS a’ nochdadh ach anns an ìomhaigh scrollaidh. Chan eil e na iongnadh gum fosgail mòran dhaoine an ceangal seo a’ smaoineachadh gur e sgrìobhainn Word a th’ ann.
Anns an eisimpleir agam, dh’ atharraich mi an PowerShell gu h-àrd gus an sgriobt a luchdachadh sìos bhon làrach-lìn agam. Tha an sgriobt PS iomallach dìreach a 'clò-bhualadh "Evil Malware". Mar a chì thu, chan eil e olc idir. Gu dearbh, tha ùidh aig fìor luchd-tarraing ann a bhith a’ faighinn cothrom air laptop no frithealaiche, can, tro shlige àithne. Anns an ath artaigil, seallaidh mi dhut mar a nì thu seo a ’cleachdadh PowerShell Empire.
Tha mi an dòchas nach do rinn sinn dàibheadh ro dhomhainn air a’ chuspair airson a’ chiad artaigil tòiseachaidh. A-nis leigidh mi leat anail a ghabhail, agus an ath thuras tòisichidh sinn a 'coimhead air fìor eisimpleirean de dh' ionnsaighean a 'cleachdadh malware gun fhaidhle gun fhaclan tòiseachaidh no ullachadh neo-riatanach sam bith.
Source: www.habr.com