Nrog rau tsab xov xwm no peb pib ntau cov ntawv tshaj tawm txog cov malware uas tsis yooj yim. Fileless hacking cov kev pab cuam, tseem hu ua fileless hacking cov kev pab cuam, feem ntau siv PowerShell ntawm Windows systems kom ntsiag to khiav cov lus txib los tshawb nrhiav thiab rho tawm cov ntsiab lus tseem ceeb. Tshawb nrhiav kev ua haujlwm ntawm hacker yam tsis muaj cov ntaub ntawv phem yog ib txoj haujlwm nyuaj, vim tias ... antiviruses thiab ntau lwm yam kev kuaj xyuas ua haujlwm raws li kev txheeb xyuas kos npe. Tab sis cov xov xwm zoo yog tias cov software no muaj nyob. Piv txwv li,
Thaum kuv xub pib tshawb fawb lub ntsiab lus ntawm badass hackers,
Lub Great thiab muaj zog PowerShell
Kuv tau sau txog qee cov tswv yim no ua ntej hauv
Ntxiv nrog rau cov qauv lawv tus kheej, ntawm qhov chaw koj tuaj yeem pom tias cov kev pabcuam no ua li cas. Hybrid tsom xam khiav malware hauv nws tus kheej sandbox thiab saib xyuas lub kaw lus hu, khiav cov txheej txheem thiab kev ua haujlwm hauv network, thiab tshem tawm cov kab ntawv tsis txaus ntseeg. Rau binaries thiab lwm yam ntaub ntawv executable, i.e. qhov twg koj tsis tuaj yeem saib qhov tseeb ntawm qib siab, hybrid tsom xam txiav txim siab seb lub software puas yog phem lossis tsuas yog xav tsis thoob raws li nws cov haujlwm ua haujlwm. Thiab tom qab ntawd cov qauv no twb tau soj ntsuam.
Nyob rau hauv rooj plaub ntawm PowerShell thiab lwm cov qauv sau ntawv (Visual Basic, JavaScript, thiab lwm yam), Kuv tuaj yeem pom cov cai nws tus kheej. Piv txwv li, kuv tau hla qhov piv txwv PowerShell no:
Koj tseem tuaj yeem khiav PowerShell hauv base64 encoding kom tsis txhob pom. Nco ntsoov siv cov Noninteractive thiab Hidden parameters.
Yog tias koj tau nyeem kuv cov lus ntawm obfuscation, ces koj paub tias qhov kev xaiv -e qhia tias cov ntsiab lus yog base64 encoded. Los ntawm txoj kev, hybrid tsom xam kuj pab nrog qhov no los ntawm kev txiav txim siab txhua yam rov qab. Yog tias koj xav sim decoding base64 PowerShell (tom qab no hu ua PS) koj tus kheej, koj yuav tsum khiav cov lus txib no:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Nkag mus tob dua
Kuv txiav txim siab peb cov ntawv PS siv cov qauv no, hauv qab no yog cov ntawv nyeem ntawm qhov program, txawm tias hloov kho me ntsis los ntawm kuv:
Nco ntsoov tias tsab ntawv raug khi rau hnub tim 4 Lub Cuaj Hli, 2017 thiab xa cov ncuav qab zib sib tham.
Kuv tau sau txog qhov kev tawm tsam no hauv
Qhov no yog dab tsi rau?
Rau kev ruaj ntseg software scanning Windows qhov xwm txheej cav lossis firewalls, base64 encoding tiv thaiv txoj hlua "WebClient" los ntawm kev kuaj pom los ntawm cov ntawv nyeem yooj yooj yim los tiv thaiv kev ua lub vev xaib zoo li no. Thiab txij li tag nrho cov "kev phem" ntawm malware yog ces rub tawm thiab dhau mus rau hauv peb lub PowerShell, qhov no yog li tso cai rau peb kom zam dhau kev kuaj pom. Los yog, qhov ntawd yog qhov kuv xav thaum xub thawj.
Nws hloov tawm tias nrog Windows PowerShell Advanced Logging enabled (saib kuv tsab xov xwm), koj yuav tuaj yeem pom cov kab thauj khoom hauv qhov kev tshwm sim cav. kuv zoo li
Cia peb ntxiv cov xwm txheej ntxiv
Hackers ntse zais PowerShell tawm tsam hauv Microsoft Office macros sau ua Visual Basic thiab lwm yam lus sau. Lub tswv yim yog tias tus neeg raug tsim txom tau txais cov lus, piv txwv li los ntawm qhov kev pabcuam xa khoom, nrog rau daim ntawv tshaj tawm txuas rau hauv .doc hom. Koj qhib cov ntaub ntawv no uas muaj cov macro, thiab nws xaus rau kev tso tawm lub siab phem PowerShell nws tus kheej.
Feem ntau cov ntawv Visual Basic nws tus kheej yog obfuscated kom nws dawb do evades antivirus thiab lwm yam malware scanners. Nyob rau hauv lub siab ntawm cov saum toj no, kuv txiav txim siab los code lub saum toj no PowerShell nyob rau hauv JavaScript raws li ib tug ce. Hauv qab no yog cov txiaj ntsig ntawm kuv txoj haujlwm:
Obfuscated JavaScript zais peb PowerShell. Cov hackers tiag tiag ua qhov no ib zaug lossis ob zaug.
Nov yog lwm cov txheej txheem uas kuv tau pom ntab thoob plaws lub vev xaib: siv Wscript.Shell los khiav cov coded PowerShell. Los ntawm txoj kev, JavaScript nws tus kheej yog
Hauv peb cov ntaub ntawv, cov ntawv tsis zoo JS tau kos ua cov ntaub ntawv nrog .doc.js txuas ntxiv. Windows feem ntau tsuas yog qhia thawj lub ntsiab lus, yog li nws yuav tshwm sim rau tus neeg raug tsim txom raws li daim ntawv Word.
Lub JS icon tsuas tshwm nyob rau hauv scroll icon. Nws tsis yog qhov xav tsis thoob tias ntau tus neeg yuav qhib qhov txuas no xav tias nws yog Lo Lus daim ntawv.
Hauv kuv qhov piv txwv, kuv tau hloov kho PowerShell saum toj no txhawm rau rub tawm tsab ntawv los ntawm kuv lub vev xaib. Cov ntawv PS tej thaj chaw deb tsuas yog luam tawm "Evil Malware". Raws li koj tau pom, nws tsis yog phem kiag li. Yog lawm, tiag tiag hackers xav nkag mus rau lub laptop lossis server, hais, los ntawm lub plhaub hais kom ua. Hauv tsab xov xwm tom ntej, kuv yuav qhia koj yuav ua li cas siv PowerShell faj tim teb chaws.
Kuv vam tias rau thawj kab lus qhia peb tsis tau dhia tob rau hauv lub ncauj lus. Tam sim no kuv mam li cia koj ua pa, thiab lwm zaus peb yuav pib saib cov piv txwv tiag tiag ntawm kev tawm tsam siv fileless malware yam tsis muaj cov lus qhia tsis tsim nyog lossis kev npaj.
Tau qhov twg los: www.hab.com