N'isiokwu a, anyị na-amalite usoro mbipụta gbasara malware na-adịghị ahụkebe. Mmemme hacking enweghị faịlụ, nke a makwaara dị ka mmemme hacking na-enweghị faịlụ, na-eji PowerShell na sistemu Windows na-agbachi nkịtị iwu iji chọọ na wepụta ọdịnaya bara uru. Ịchọpụta ọrụ hacker na-enweghị faịlụ ọjọọ bụ ọrụ siri ike, n'ihi na ... antiviruses na ọtụtụ usoro nchọpụta ndị ọzọ na-arụ ọrụ dabere na nyocha mbinye aka. Mana ozi ọma ahụ bụ na ngwanrọ dị otú ahụ dị. Ọmụmaatụ, , nwere ike ịchọpụta ọrụ ọjọọ na sistemụ faịlụ.
Mgbe mbụ m malitere nyocha isiokwu nke ndị hackers badass, , ma naanị ngwá ọrụ na ngwanrọ dị na kọmpụta onye ahụ, amaghị m na n'oge na-adịghị anya nke a ga-aghọ ụzọ a ma ama nke mbuso agha. Ndị ọkachamara nchekwa na nke a na-aghọ a na-emekarị, na - nkwenye nke a. Ya mere, ekpebiri m ime ọtụtụ akwụkwọ gbasara isiokwu a.
The nnukwu na ike Shell
Edela m ụfọdụ n'ime echiche ndị a tupu n'ime , mana karịa dabere n'echiche echiche. E mesịa, ahụrụ m , ebe ị nwere ike ịhụ ihe atụ nke malware "ejide" n'ime ọhịa. Ekpebiri m ịnwale iji saịtị a iji chọta ihe nlele malware enweghị faịlụ. Ma enwere m ihe ịga nke ọma. Site n'ụzọ, ọ bụrụ na ị chọrọ ịga na gị onwe gị malware ịchụ nta njem, ị ga-enweta nkwenye site na saịtị a ka ha mara na ị na-arụ ọrụ dị ka a ọcha okpu. Dịka onye na-ede blọgụ nchekwa, m gafere ya n'enweghị ajụjụ. Eji m n'aka na ị nwekwara ike.
Na mgbakwunye na ihe nlele onwe ha, na saịtị ị nwere ike ịhụ ihe mmemme ndị a na-eme. Nyocha ngwakọ na-agba malware n'ime igbe ájá nke ya ma na-enyocha oku usoro, usoro na-agba ọsọ na ọrụ netwọk, na-ewepụ eriri ederede na-enyo enyo. Maka ọnụọgụ abụọ na faịlụ ndị ọzọ enwere ike, i.e. ebe ị na-apụghị ọbụna anya na n'ezie elu-larịị koodu, ngwakọ analysis na-ekpebi ma software ọ bụ obi ọjọọ ma ọ bụ dị nnọọ enyo dabere na ya Oge ojiri gaa ọrụ. Ma mgbe nke ahụ gasịrị, a na-enyocha ihe nlele ahụ.
N'ihe banyere PowerShell na ihe atụ ndị ọzọ (Visual Basic, JavaScript, wdg), enwere m ike ịhụ koodu ahụ n'onwe ya. Dịka ọmụmaatụ, ahụrụ m ihe atụ PowerShell a:
Ị nwekwara ike ịgba PowerShell na ntinye koodu base64 ka ịzena nchọpụta. Rụba ama iji paramita na-adịghị emekọrịta ihe na nke zoro ezo.
Ọ bụrụ na ị gụọla akwụkwọ m na obfuscation, ị mara na nhọrọ -e na-akọwapụta na ọdịnaya bụ base64. Site n'ụzọ, nyocha ngwakọ na-enyekwa aka na nke a site n'ichepụta ihe niile azụ. Ọ bụrụ n’ịchọrọ ịnwale decoding base64 PowerShell (nke a na-akpọ PS) n'onwe gị, ịkwesịrị ịme iwu a:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Gaa miri emi
Ejiri m usoro a decoded script PS anyị, n'okpuru bụ ederede nke mmemme ahụ, ọ bụ ezie na m gbanwere ntakịrị:
Rịba ama na ejikọtara edemede ahụ na ụbọchị Septemba 4, 2017 wee bufee kuki nnọkọ.
Edere m gbasara ụdị ọgụ a n'ime , nke base64 ederede ederede n'onwe ya na-ebu ibu efu malware sitere na saịtị ọzọ, na-eji .Net Framework's WebClient ihe na-ebuli elu.
Gịnị ka o mere?
Maka sọftụwia nchekwa na-enyocha ndekọ ihe omume Windows ma ọ bụ firewalls, ntọala base64 na-egbochi eriri "WebClient" site na usoro ederede doro anya iji chebe megide ịme arịrịọ webụ dị otú ahụ. Ebe ọ bụ na ebudatara “ihe ọjọọ” malware niile wee banye na PowerShell anyị, usoro a na-enye anyị ohere ịgbanahụ nchọpụta kpamkpam. Ma ọ bụ kama, nke ahụ bụ ihe m chere na mbụ.
Ọ tụgharịrị na iji Windows PowerShell Advanced Logging nyeere (lee akụkọ m), ị ga-enwe ike ịhụ ahịrị eburu n'uche na ndekọ ihe omume. m dị ka ) Echere m na Microsoft ga-eme ka ọkwa ndekọ a dị na ndabara. Ya mere, na-enyere aka ịgbatị osisi, anyị ga-ahụ na mmemme Windows dekọọ arịrịọ nbudata emechara site na edemede PS dịka ọmụmaatụ anyị tụlere n'elu. Ya mere, ọ bụ ihe ezi uche dị na ya ịgbalite ya, ị kwenyeghị?
Ka anyị tinyekwuo ndapụta
Ndị na-agba ọsọ na-eji aghụghọ zoo mwakpo PowerShell na Microsoft Office macros nke edere n'asụsụ Visual Basic na asụsụ edemede ndị ọzọ. Echiche bụ na onye a tara ahụhụ na-enweta ozi, dịka ọmụmaatụ site na ọrụ nnyefe, yana akụkọ agbakwunyere na usoro .doc. Ị mepee akwụkwọ a nwere nnukwu macro, ọ na-emecha malite ike PowerShell n'onwe ya.
Ọtụtụ mgbe, ihe odide Visual Basic n'onwe ya na-ezochi ya nke mere na ọ na-agbanahụ antivirus na ihe nyocha malware ndị ọzọ. N'ime mmụọ nke dị n'elu, ekpebiri m itinye koodu PowerShell dị n'elu na Javascript dị ka mmega ahụ. N'okpuru bụ nsonaazụ ọrụ m:
Javascript emejọrọ na-ezobe PowerShell anyị. Ezigbo ndị hackers na-eme nke a otu ugboro ma ọ bụ ugboro abụọ.
Nke a bụ usoro ọzọ m hụworo ka ọ na-ese n'elu webụ: iji Wscript.Shell mee PowerShell koodu. Site n'ụzọ, Javascript n'onwe ya bụ nnyefe nke malware. Ọtụtụ ụdị Windows arụnyere n'ime ya , nke n'onwe ya nwere ike ịgba ọsọ JS.
N'ọnọdụ anyị, agbakwunyere script JS ọjọọ dị ka faịlụ nwere ndọtị .doc.js. Windows ga na-egosipụta naanị suffix nke mbụ, yabụ ọ ga-apụta n'ihu onye ihe metụtara dị ka akwụkwọ Okwu.
Akara ngosi JS na-egosi naanị na akara ngosi mpịakọta. Ọ bụghị ihe ijuanya na ọtụtụ ndị mmadụ ga-emeghe mgbakwunye a na-eche na ọ bụ akwụkwọ Okwu.
N'atụmatụ m, agbanwere m PowerShell dị n'elu ka ibudata edemede ahụ na webụsaịtị m. Edemede PS dịpụrụ adịpụ na-ebipụta "Evil Malware". Dị ka ị pụrụ ịhụ, ọ dịghị njọ ma ọlị. N'ezie, ezigbo ndị hackers nwere mmasị inweta ohere ịnweta laptọọpụ ma ọ bụ ihe nkesa, sịnụ, site na shei iwu. N'isiokwu na-esonụ, m ga-egosi gị otu esi eme nke a site na iji PowerShell Empire.
Enwere m olileanya na maka isiokwu mmeghe nke mbụ anyị abanyeghị n'ime isiokwu ahụ. Ugbu a, m ga-ahapụ gị ka ikuru ume, na oge ọzọ anyị ga-amalite ilele ezigbo ihe atụ nke ọgụ site na iji malware na-enweghị faịlụ na-enweghị okwu mmeghe ma ọ bụ nkwadebe na-enweghị isi.
isi: www.habr.com