Með þessari grein byrjum við röð rita um illgjarn spilliforrit. Skráalaus innbrotsforrit, einnig þekkt sem skráalaus tölvuþrjót, nota venjulega PowerShell á Windows kerfum til að keyra hljóðlaust skipanir til að leita að og draga út verðmætt efni. Að greina tölvuþrjótavirkni án skaðlegra skráa er erfitt verkefni, vegna þess að... vírusvörn og mörg önnur uppgötvunarkerfi vinna byggt á undirskriftargreiningu. En góðu fréttirnar eru þær að slíkur hugbúnaður er til. Til dæmis, , fær um að greina illgjarn virkni í skráarkerfum.
Þegar ég byrjaði fyrst að rannsaka efnið slæma tölvuþrjóta, , en aðeins verkfærin og hugbúnaðinn sem er tiltækur á tölvu fórnarlambsins, hafði ég ekki hugmynd um að þetta myndi fljótlega verða vinsæl árásaraðferð. Öryggissérfræðingar að þetta sé að verða trend, og - staðfesting á þessu. Þess vegna ákvað ég að gera ritröð um þetta efni.
Hin mikla og öfluga PowerShell
Ég hef skrifað um sumar þessara hugmynda áður í , en meira byggt á fræðilegu hugtaki. Seinna rakst ég á , þar sem þú getur fundið sýnishorn af spilliforritum sem eru „veiddir“ í náttúrunni. Ég ákvað að prófa að nota þessa síðu til að finna sýnishorn af skráarlausum spilliforritum. Og mér tókst það. Við the vegur, ef þú vilt fara í þinn eigin spilliforrit veiðileiðangur, verður þú að fá staðfest af þessari síðu svo þeir viti að þú ert að vinna verkið sem sérfræðingur í hvítum hattum. Sem öryggisbloggari stóðst ég það án efa. Ég er viss um að þú getur það líka.
Til viðbótar við sýnin sjálf, á síðunni er hægt að sjá hvað þessi forrit gera. Hybrid greining keyrir spilliforrit í eigin sandkassa og fylgist með kerfissímtölum, hlaupandi ferlum og netvirkni og dregur út grunsamlega textastrengi. Fyrir binaries og aðrar keyranlegar skrár, þ.e. þar sem þú getur ekki einu sinni horft á raunverulegan kóða á háu stigi, blendingsgreining ákveður hvort hugbúnaðurinn sé illgjarn eða bara grunsamlegur út frá keyrsluvirkni hans. Og eftir það er úrtakið þegar metið.
Þegar um er að ræða PowerShell og önnur sýnishorn forskrifta (Visual Basic, JavaScript, osfrv.), gat ég séð kóðann sjálfan. Til dæmis rakst ég á þetta PowerShell dæmi:
Þú getur líka keyrt PowerShell í base64 kóðun til að forðast uppgötvun. Athugaðu notkun á óintervirkum og falnum breytum.
Ef þú hefur lesið færslur mínar um obfuscation, þá veistu að -e valmöguleikinn tilgreinir að innihaldið sé base64 kóðað. Við the vegur, blendingur greining hjálpar líka við þetta með því að afkóða allt til baka. Ef þú vilt prófa að afkóða base64 PowerShell (hér eftir nefnt PS) sjálfur þarftu að keyra þessa skipun:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Farðu dýpra
Ég afkóðaði PS handritið okkar með þessari aðferð, hér að neðan er texti forritsins, þó aðeins breyttur af mér:
Athugaðu að handritið var bundið við dagsetninguna 4. september 2017 og sendi setukökur.
Ég skrifaði um þennan árásarstíl í , þar sem base64 kóðaða forskriftin sjálf hleðst inn vantar spilliforrit frá annarri síðu með því að nota WebClient hlut .Net Framework bókasafnsins til að vinna þungt.
Hvað þýðir það að gera?
Fyrir öryggishugbúnað sem skannar Windows atburðaskrár eða eldveggi, kemur base64 kóðun í veg fyrir að strengurinn „WebClient“ finnist með venjulegu textamynstri til að verjast slíkri vefbeiðni. Og þar sem allt „illt“ spilliforritsins er síðan hlaðið niður og sent inn í PowerShell okkar, gerir þessi nálgun okkur þannig kleift að forðast uppgötvun. Eða réttara sagt, það var það sem ég hugsaði fyrst.
Það kemur í ljós að með Windows PowerShell Advanced Logging virkt (sjá greinina mína) muntu geta séð hlaðna línuna í atburðaskránni. Ég er eins og ) Ég held að Microsoft ætti sjálfgefið að virkja þetta stig skráningar. Þess vegna, með útbreidda skráningu virka, munum við sjá í Windows atburðaskránni lokið niðurhalsbeiðni frá PS handriti samkvæmt dæminu sem við ræddum hér að ofan. Þess vegna er skynsamlegt að virkja það, ertu ekki sammála?
Við skulum bæta við fleiri atburðarásum
Tölvuþrjótar fela snjallt PowerShell árásir í Microsoft Office fjölvi skrifuð í Visual Basic og öðrum forskriftarmálum. Hugmyndin er að fórnarlambið fái skilaboð, til dæmis frá sendiþjónustu, með meðfylgjandi skýrslu á .doc formi. Þú opnar þetta skjal sem inniheldur fjölvi og það endar með því að ræsa illgjarn PowerShell sjálft.
Oft er Visual Basic handritið sjálft hulið þannig að það kemst frjálslega hjá vírusvarnar- og öðrum spilliforritaskanna. Í anda ofangreinds ákvað ég að kóða ofangreind PowerShell í JavaScript sem æfingu. Hér að neðan eru niðurstöður vinnu minnar:
Skuggað JavaScript sem felur PowerShell okkar. Alvöru tölvuþrjótar gera þetta einu sinni eða tvisvar.
Þetta er önnur tækni sem ég hef séð fljóta um á vefnum: að nota Wscript.Shell til að keyra kóðaða PowerShell. Við the vegur, JavaScript sjálft er afhendingu spilliforrita. Margar útgáfur af Windows hafa innbyggt , sem sjálft getur keyrt JS.
Í okkar tilviki er illgjarn JS forskriftin felld inn sem skrá með .doc.js endingunni. Windows mun venjulega aðeins sýna fyrsta viðskeyti, svo það mun birtast fórnarlambinu sem Word skjal.
JS táknið birtist aðeins í skruntákninu. Það kemur ekki á óvart að margir muni opna þetta viðhengi og halda að þetta sé Word skjal.
Í dæminu mínu breytti ég PowerShell hér að ofan til að hlaða niður handritinu af vefsíðunni minni. Ytri PS-forskriftin prentar bara „Evil Malware“. Eins og þú sérð er hann alls ekki vondur. Auðvitað hafa alvöru tölvuþrjótar áhuga á að fá aðgang að fartölvu eða netþjóni, td í gegnum stjórnskel. Í næstu grein mun ég sýna þér hvernig á að gera þetta með PowerShell Empire.
Ég vona að í fyrstu kynningargreininni hafi við ekki kafað of djúpt í efnið. Nú læt ég þig draga andann og næst byrjum við að skoða raunveruleg dæmi um árásir með skráarlausum spilliforritum án óþarfa inngangsorða eða undirbúnings.
Heimild: www.habr.com