Nrog rau tsab xov xwm no peb pib ntau cov ntawv tshaj tawm txog cov malware uas tsis yooj yim. Fileless hacking cov kev pab cuam, tseem hu ua fileless hacking cov kev pab cuam, feem ntau siv PowerShell ntawm Windows systems kom ntsiag to khiav cov lus txib los tshawb nrhiav thiab rho tawm cov ntsiab lus tseem ceeb. Tshawb nrhiav kev ua haujlwm ntawm hacker yam tsis muaj cov ntaub ntawv phem yog ib txoj haujlwm nyuaj, vim tias ... antiviruses thiab ntau lwm yam kev kuaj xyuas ua haujlwm raws li kev txheeb xyuas kos npe. Tab sis cov xov xwm zoo yog tias cov software no muaj nyob. Piv txwv li, , muaj peev xwm txheeb xyuas cov kev ua phem hauv cov ntaub ntawv.
Thaum kuv xub pib tshawb fawb lub ntsiab lus ntawm badass hackers, , tab sis tsuas yog cov cuab yeej thiab software muaj nyob rau ntawm tus neeg raug tsim txom lub computer, kuv tsis muaj lub tswv yim tias qhov no yuav dhau los ua ib txoj hauv kev nrov ntawm kev tawm tsam. Cov kws tshaj lij kev ruaj ntseg tias qhov no tau dhau los ua qhov sib txawv, thiab - kev lees paub ntawm qhov no. Yog li ntawd, kuv txiav txim siab los ua ib tug series ntawm kev tshaj tawm txog lub ntsiab lus no.
Lub Great thiab muaj zog PowerShell
Kuv tau sau txog qee cov tswv yim no ua ntej hauv , tab sis ntau raws li lub tswv yim theoretical. Tom qab ntawd kuv tuaj hla , qhov twg koj tuaj yeem pom cov qauv ntawm malware "caught" hauv cov tsiaj qus. Kuv txiav txim siab sim siv qhov chaw no los nrhiav cov qauv ntawm fileless malware. Thiab kuv ua tiav. Los ntawm txoj kev, yog tias koj xav mus rau ntawm koj tus kheej malware mus yos hav zoov, koj yuav tsum tau kuaj xyuas los ntawm lub vev xaib no kom lawv paub tias koj tab tom ua haujlwm ua tus kws tshaj lij lub kaus mom dawb. Raws li kev ruaj ntseg blogger, kuv dhau nws yam tsis muaj lus nug. Kuv paub tseeb tias koj ua tau thiab.
Ntxiv nrog rau cov qauv lawv tus kheej, ntawm qhov chaw koj tuaj yeem pom tias cov kev pabcuam no ua li cas. Hybrid tsom xam khiav malware hauv nws tus kheej sandbox thiab saib xyuas lub kaw lus hu, khiav cov txheej txheem thiab kev ua haujlwm hauv network, thiab tshem tawm cov kab ntawv tsis txaus ntseeg. Rau binaries thiab lwm yam ntaub ntawv executable, i.e. qhov twg koj tsis tuaj yeem saib qhov tseeb ntawm qib siab, hybrid tsom xam txiav txim siab seb lub software puas yog phem lossis tsuas yog xav tsis thoob raws li nws cov haujlwm ua haujlwm. Thiab tom qab ntawd cov qauv no twb tau soj ntsuam.
Nyob rau hauv rooj plaub ntawm PowerShell thiab lwm cov qauv sau ntawv (Visual Basic, JavaScript, thiab lwm yam), Kuv tuaj yeem pom cov cai nws tus kheej. Piv txwv li, kuv tau hla qhov piv txwv PowerShell no:
Koj tseem tuaj yeem khiav PowerShell hauv base64 encoding kom tsis txhob pom. Nco ntsoov siv cov Noninteractive thiab Hidden parameters.
Yog tias koj tau nyeem kuv cov lus ntawm obfuscation, ces koj paub tias qhov kev xaiv -e qhia tias cov ntsiab lus yog base64 encoded. Los ntawm txoj kev, hybrid tsom xam kuj pab nrog qhov no los ntawm kev txiav txim siab txhua yam rov qab. Yog tias koj xav sim decoding base64 PowerShell (tom qab no hu ua PS) koj tus kheej, koj yuav tsum khiav cov lus txib no:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Nkag mus tob dua
Kuv txiav txim siab peb cov ntawv PS siv cov qauv no, hauv qab no yog cov ntawv nyeem ntawm qhov program, txawm tias hloov kho me ntsis los ntawm kuv:
Nco ntsoov tias tsab ntawv raug khi rau hnub tim 4 Lub Cuaj Hli, 2017 thiab xa cov ncuav qab zib sib tham.
Kuv tau sau txog qhov kev tawm tsam no hauv , nyob rau hauv uas lub base64 encoded tsab ntawv nws tus kheej loads ploj lawm malware los ntawm lwm qhov chaw, siv lub tsev qiv ntawv .Net Framework's WebClient khoom los ua qhov hnyav.
Qhov no yog dab tsi rau?
Rau kev ruaj ntseg software scanning Windows qhov xwm txheej cav lossis firewalls, base64 encoding tiv thaiv txoj hlua "WebClient" los ntawm kev kuaj pom los ntawm cov ntawv nyeem yooj yooj yim los tiv thaiv kev ua lub vev xaib zoo li no. Thiab txij li tag nrho cov "kev phem" ntawm malware yog ces rub tawm thiab dhau mus rau hauv peb lub PowerShell, qhov no yog li tso cai rau peb kom zam dhau kev kuaj pom. Los yog, qhov ntawd yog qhov kuv xav thaum xub thawj.
Nws hloov tawm tias nrog Windows PowerShell Advanced Logging enabled (saib kuv tsab xov xwm), koj yuav tuaj yeem pom cov kab thauj khoom hauv qhov kev tshwm sim cav. kuv zoo li ) Kuv xav tias Microsoft yuav tsum pab kom nkag siab txog qib no los ntawm lub neej ntawd. Yog li ntawd, nrog rau kev nkag mus txuas ntxiv, peb yuav pom nyob rau hauv qhov xwm txheej Windows teev ua tiav kev thov los ntawm PS tsab ntawv raws li qhov piv txwv peb tau tham saum toj no. Yog li ntawd, nws ua rau kev txiav txim siab qhib nws, koj puas pom zoo?
Cia peb ntxiv cov xwm txheej ntxiv
Hackers ntse zais PowerShell tawm tsam hauv Microsoft Office macros sau ua Visual Basic thiab lwm yam lus sau. Lub tswv yim yog tias tus neeg raug tsim txom tau txais cov lus, piv txwv li los ntawm qhov kev pabcuam xa khoom, nrog rau daim ntawv tshaj tawm txuas rau hauv .doc hom. Koj qhib cov ntaub ntawv no uas muaj cov macro, thiab nws xaus rau kev tso tawm lub siab phem PowerShell nws tus kheej.
Feem ntau cov ntawv Visual Basic nws tus kheej yog obfuscated kom nws dawb do evades antivirus thiab lwm yam malware scanners. Nyob rau hauv lub siab ntawm cov saum toj no, kuv txiav txim siab los code lub saum toj no PowerShell nyob rau hauv JavaScript raws li ib tug ce. Hauv qab no yog cov txiaj ntsig ntawm kuv txoj haujlwm:
Obfuscated JavaScript zais peb PowerShell. Cov hackers tiag tiag ua qhov no ib zaug lossis ob zaug.
Nov yog lwm cov txheej txheem uas kuv tau pom ntab thoob plaws lub vev xaib: siv Wscript.Shell los khiav cov coded PowerShell. Los ntawm txoj kev, JavaScript nws tus kheej yog xa cov malware. Muaj ntau lub versions ntawm Windows muaj built-in , uas nws tus kheej tuaj yeem khiav JS.
Hauv peb cov ntaub ntawv, cov ntawv tsis zoo JS tau kos ua cov ntaub ntawv nrog .doc.js txuas ntxiv. Windows feem ntau tsuas yog qhia thawj lub ntsiab lus, yog li nws yuav tshwm sim rau tus neeg raug tsim txom raws li daim ntawv Word.
Lub JS icon tsuas tshwm nyob rau hauv scroll icon. Nws tsis yog qhov xav tsis thoob tias ntau tus neeg yuav qhib qhov txuas no xav tias nws yog Lo Lus daim ntawv.
Hauv kuv qhov piv txwv, kuv tau hloov kho PowerShell saum toj no txhawm rau rub tawm tsab ntawv los ntawm kuv lub vev xaib. Cov ntawv PS tej thaj chaw deb tsuas yog luam tawm "Evil Malware". Raws li koj tau pom, nws tsis yog phem kiag li. Yog lawm, tiag tiag hackers xav nkag mus rau lub laptop lossis server, hais, los ntawm lub plhaub hais kom ua. Hauv tsab xov xwm tom ntej, kuv yuav qhia koj yuav ua li cas siv PowerShell faj tim teb chaws.
Kuv vam tias rau thawj kab lus qhia peb tsis tau dhia tob rau hauv lub ncauj lus. Tam sim no kuv mam li cia koj ua pa, thiab lwm zaus peb yuav pib saib cov piv txwv tiag tiag ntawm kev tawm tsam siv fileless malware yam tsis muaj cov lus qhia tsis tsim nyog lossis kev npaj.
Tau qhov twg los: www.hab.com