Avèk atik sa a nou kòmanse yon seri piblikasyon sou malveyan flotant. Pwogram piratage san fichye, ke yo rele tou pwogram piratage san fichye, anjeneral itilize PowerShell sou sistèm Windows pou kouri an silans kòmandman pou chèche ak ekstrè kontni ki gen anpil valè. Detekte aktivite pirate san dosye move se yon travay difisil, paske... antivirus ak anpil lòt sistèm deteksyon travay ki baze sou analiz siyati. Men, bon nouvèl la se ke lojisyèl sa yo egziste. Pa egzanp, , ki kapab detekte aktivite move nan sistèm dosye.
Lè mwen te kòmanse fè rechèch sou sijè a nan entru move, , men se sèlman zouti yo ak lojisyèl ki disponib sou òdinatè viktim nan, mwen pa te gen okenn lide ke sa a ta byento vin yon metòd popilè nan atak. Pwofesyonèl sekirite ke sa a ap vin yon tandans, ak - konfimasyon sa a. Se poutèt sa, mwen deside fè yon seri piblikasyon sou sijè sa a.
Gwo ak pwisan PowerShell la
Mwen te ekri sou kèk nan lide sa yo anvan nan , men plis ki baze sou yon konsèp teyorik. Apre sa, mwen te rankontre , kote ou ka jwenn echantiyon malveyan "kenbe" nan bwa a. Mwen deside eseye sèvi ak sit sa a pou jwenn echantiyon malveyan san fichye. Apre sa, mwen te reyisi. By wout la, si ou vle ale nan pwòp ekspedisyon lachas malveyan ou a, w ap oblije jwenn verifye pa sit sa a pou yo konnen w ap fè travay la kòm yon espesyalis chapo blan. Kòm yon blogger sekirite, mwen te pase li san kesyon. Mwen sèten ou kapab tou.
Anplis echantiyon yo menm, sou sit la ou ka wè kisa pwogram sa yo fè. Analiz ibrid kouri malveyan nan sandbox pwòp li yo ak monitè apèl sistèm, pwosesis kouri ak aktivite rezo, ak ekstrè kòd tèks sispèk. Pou binè ak lòt dosye ègzèkutabl, i.e. kote ou pa ka menm gade nan aktyèl kòd wo nivo, analiz ibrid deside si lojisyèl an se move oswa jis sispèk ki baze sou aktivite ègzekutabl li yo. Apre sa, echantiyon an deja evalye.
Nan ka PowerShell ak lòt echantiyon scripts (Visual Basic, JavaScript, elatriye), mwen te kapab wè kòd la tèt li. Pou egzanp, mwen te rankontre egzanp sa a PowerShell:
Ou kapab tou kouri PowerShell nan kodaj base64 pou evite deteksyon. Remake byen itilizasyon paramèt Noninteractive ak Hidden.
Si ou te li pòs mwen yo sou obfuscation, Lè sa a, ou konnen ke opsyon nan -e presize ke kontni an se base64 kode. By wout la, analiz ibrid tou ede ak sa a pa dekode tout bagay tounen. Si ou vle eseye dekode baz64 PowerShell (ki refere yo kòm PS) tèt ou, ou bezwen kouri lòd sa a:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Fouye pi fon
Mwen dekode script PS nou an lè l sèvi avèk metòd sa a, anba a se tèks la nan pwogram nan, byenke yon ti kras modifye pa mwen:
Remake byen ke script la te mare nan dat 4 septanm 2017 ak transmèt bonbon sesyon.
Mwen te ekri sou style atak sa a nan , nan ki base64 kode script tèt li chaje manke malveyan ki soti nan yon lòt sit, lè l sèvi avèk objè WebClient .Net Framework bibliyotèk la pou fè gwo travay la.
Ki sa sa fè?
Pou lojisyèl sekirite analize mòso bwa evènman Windows oswa firewall, kodaj base64 anpeche fisèl "WebClient" detekte pa yon modèl tèks klè pou pwoteje kont fè tankou yon demann entènèt. Epi depi tout "mal" malveyan an telechaje epi yo pase nan PowerShell nou an, apwòch sa a pèmèt nou konplètman evade deteksyon. Oswa pito, se sa mwen te panse nan premye.
Li sanble ke ak Windows PowerShell Advanced Logging pèmèt (gade atik mwen an), ou pral kapab wè liy ki chaje nan boutèy la evènman an. Mwen tankou ) Mwen panse ke Microsoft ta dwe pèmèt nivo sa a nan antre pa default. Se poutèt sa, ak anrejistreman pwolonje pèmèt, nou pral wè nan jounal evènman Windows yon demann telechaje ranpli soti nan yon script PS dapre egzanp nou te diskite pi wo a. Se poutèt sa, li fè sans aktive li, ou pa dakò?
Ann ajoute senaryo adisyonèl
Hackers malen kache atak PowerShell nan makro Microsoft Office ekri nan Visual Basic ak lòt lang scripting. Lide a se ke viktim nan resevwa yon mesaj, pa egzanp nan yon sèvis livrezon, ak yon rapò tache nan fòma .doc. Ou louvri dokiman sa a ki gen makro a, epi li fini lanse move PowerShell la tèt li.
Souvan script Visual Basic tèt li se obfuscate pou li lib evade antivirus ak lòt eskanè malveyan. Nan lespri ki pi wo a, mwen deside kode PowerShell ki anwo a nan JavaScript kòm yon egzèsis. Anba a se rezilta travay mwen an:
Obfuscate JavaScript kache PowerShell nou an. Entru reyèl fè sa yon fwa oswa de fwa.
Sa a se yon lòt teknik mwen te wè k ap flote sou entènèt la: lè l sèvi avèk Wscript.Shell nan kouri kode PowerShell. By wout la, JavaScript tèt li se livrezon malveyan. Anpil vèsyon nan Windows gen bati-an , ki tèt li ka kouri JS.
Nan ka nou an, move script JS la entegre kòm yon dosye ak ekstansyon .doc.js. Windows pral tipikman sèlman montre premye sifiks la, kidonk li pral parèt bay viktim nan kòm yon dokiman Pawòl.
Ikòn JS la parèt sèlman nan ikòn woulo liv la. Li pa etone ke anpil moun pral louvri atachman sa a panse li se yon dokiman Word.
Nan egzanp mwen an, mwen modifye PowerShell ki anwo a pou telechaje script la nan sit entènèt mwen an. Script PS aleka jis enprime "Malveyan mal". Kòm ou ka wè, li pa sa ki mal ditou. Natirèlman, entru reyèl yo enterese nan jwenn aksè nan yon laptop oswa sèvè, di, atravè yon kokiy lòd. Nan pwochen atik la, mwen pral montre w kouman pou w fè sa lè l sèvi avèk PowerShell Empire.
Mwen espere ke pou premye atik entwodiksyon nou pa t 'plonje twò fon nan sijè a. Koulye a, mwen pral kite ou pran yon souf, ak pwochen fwa nou pral kòmanse gade nan egzanp reyèl nan atak lè l sèvi avèk malveyan san fichye san okenn mo entwodiksyon nesesè oswa preparasyon.
Sous: www.habr.com