N'isiokwu a, anyị na-amalite usoro mbipụta gbasara malware na-adịghị ahụkebe. Mmemme hacking enweghị faịlụ, nke a makwaara dị ka mmemme hacking na-enweghị faịlụ, na-eji PowerShell na sistemu Windows na-agbachi nkịtị iwu iji chọọ na wepụta ọdịnaya bara uru. Ịchọpụta ọrụ hacker na-enweghị faịlụ ọjọọ bụ ọrụ siri ike, n'ihi na ... antiviruses na ọtụtụ usoro nchọpụta ndị ọzọ na-arụ ọrụ dabere na nyocha mbinye aka. Mana ozi ọma ahụ bụ na ngwanrọ dị otú ahụ dị. Ọmụmaatụ,
Mgbe mbụ m malitere nyocha isiokwu nke ndị hackers badass,
The nnukwu na ike Shell
Edela m ụfọdụ n'ime echiche ndị a tupu n'ime
Na mgbakwunye na ihe nlele onwe ha, na saịtị ị nwere ike ịhụ ihe mmemme ndị a na-eme. Nyocha ngwakọ na-agba malware n'ime igbe ájá nke ya ma na-enyocha oku usoro, usoro na-agba ọsọ na ọrụ netwọk, na-ewepụ eriri ederede na-enyo enyo. Maka ọnụọgụ abụọ na faịlụ ndị ọzọ enwere ike, i.e. ebe ị na-apụghị ọbụna anya na n'ezie elu-larịị koodu, ngwakọ analysis na-ekpebi ma software ọ bụ obi ọjọọ ma ọ bụ dị nnọọ enyo dabere na ya Oge ojiri gaa ọrụ. Ma mgbe nke ahụ gasịrị, a na-enyocha ihe nlele ahụ.
N'ihe banyere PowerShell na ihe atụ ndị ọzọ (Visual Basic, JavaScript, wdg), enwere m ike ịhụ koodu ahụ n'onwe ya. Dịka ọmụmaatụ, ahụrụ m ihe atụ PowerShell a:
Ị nwekwara ike ịgba PowerShell na ntinye koodu base64 ka ịzena nchọpụta. Rụba ama iji paramita na-adịghị emekọrịta ihe na nke zoro ezo.
Ọ bụrụ na ị gụọla akwụkwọ m na obfuscation, ị mara na nhọrọ -e na-akọwapụta na ọdịnaya bụ base64. Site n'ụzọ, nyocha ngwakọ na-enyekwa aka na nke a site n'ichepụta ihe niile azụ. Ọ bụrụ n’ịchọrọ ịnwale decoding base64 PowerShell (nke a na-akpọ PS) n'onwe gị, ịkwesịrị ịme iwu a:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Gaa miri emi
Ejiri m usoro a decoded script PS anyị, n'okpuru bụ ederede nke mmemme ahụ, ọ bụ ezie na m gbanwere ntakịrị:
Rịba ama na ejikọtara edemede ahụ na ụbọchị Septemba 4, 2017 wee bufee kuki nnọkọ.
Edere m gbasara ụdị ọgụ a n'ime
Gịnị ka o mere?
Maka sọftụwia nchekwa na-enyocha ndekọ ihe omume Windows ma ọ bụ firewalls, ntọala base64 na-egbochi eriri "WebClient" site na usoro ederede doro anya iji chebe megide ịme arịrịọ webụ dị otú ahụ. Ebe ọ bụ na ebudatara “ihe ọjọọ” malware niile wee banye na PowerShell anyị, usoro a na-enye anyị ohere ịgbanahụ nchọpụta kpamkpam. Ma ọ bụ kama, nke ahụ bụ ihe m chere na mbụ.
Ọ tụgharịrị na iji Windows PowerShell Advanced Logging nyeere (lee akụkọ m), ị ga-enwe ike ịhụ ahịrị eburu n'uche na ndekọ ihe omume. m dị ka
Ka anyị tinyekwuo ndapụta
Ndị na-agba ọsọ na-eji aghụghọ zoo mwakpo PowerShell na Microsoft Office macros nke edere n'asụsụ Visual Basic na asụsụ edemede ndị ọzọ. Echiche bụ na onye a tara ahụhụ na-enweta ozi, dịka ọmụmaatụ site na ọrụ nnyefe, yana akụkọ agbakwunyere na usoro .doc. Ị mepee akwụkwọ a nwere nnukwu macro, ọ na-emecha malite ike PowerShell n'onwe ya.
Ọtụtụ mgbe, ihe odide Visual Basic n'onwe ya na-ezochi ya nke mere na ọ na-agbanahụ antivirus na ihe nyocha malware ndị ọzọ. N'ime mmụọ nke dị n'elu, ekpebiri m itinye koodu PowerShell dị n'elu na Javascript dị ka mmega ahụ. N'okpuru bụ nsonaazụ ọrụ m:
Javascript emejọrọ na-ezobe PowerShell anyị. Ezigbo ndị hackers na-eme nke a otu ugboro ma ọ bụ ugboro abụọ.
Nke a bụ usoro ọzọ m hụworo ka ọ na-ese n'elu webụ: iji Wscript.Shell mee PowerShell koodu. Site n'ụzọ, Javascript n'onwe ya bụ
N'ọnọdụ anyị, agbakwunyere script JS ọjọọ dị ka faịlụ nwere ndọtị .doc.js. Windows ga na-egosipụta naanị suffix nke mbụ, yabụ ọ ga-apụta n'ihu onye ihe metụtara dị ka akwụkwọ Okwu.
Akara ngosi JS na-egosi naanị na akara ngosi mpịakọta. Ọ bụghị ihe ijuanya na ọtụtụ ndị mmadụ ga-emeghe mgbakwunye a na-eche na ọ bụ akwụkwọ Okwu.
N'atụmatụ m, agbanwere m PowerShell dị n'elu ka ibudata edemede ahụ na webụsaịtị m. Edemede PS dịpụrụ adịpụ na-ebipụta "Evil Malware". Dị ka ị pụrụ ịhụ, ọ dịghị njọ ma ọlị. N'ezie, ezigbo ndị hackers nwere mmasị inweta ohere ịnweta laptọọpụ ma ọ bụ ihe nkesa, sịnụ, site na shei iwu. N'isiokwu na-esonụ, m ga-egosi gị otu esi eme nke a site na iji PowerShell Empire.
Enwere m olileanya na maka isiokwu mmeghe nke mbụ anyị abanyeghị n'ime isiokwu ahụ. Ugbu a, m ga-ahapụ gị ka ikuru ume, na oge ọzọ anyị ga-amalite ilele ezigbo ihe atụ nke ọgụ site na iji malware na-enweghị faịlụ na-enweghị okwu mmeghe ma ọ bụ nkwadebe na-enweghị isi.
isi: www.habr.com