Með þessari grein byrjum við röð rita um illgjarn spilliforrit. Skráalaus innbrotsforrit, einnig þekkt sem skráalaus tölvuþrjót, nota venjulega PowerShell á Windows kerfum til að keyra hljóðlaust skipanir til að leita að og draga út verðmætt efni. Að greina tölvuþrjótavirkni án skaðlegra skráa er erfitt verkefni, vegna þess að... vírusvörn og mörg önnur uppgötvunarkerfi vinna byggt á undirskriftargreiningu. En góðu fréttirnar eru þær að slíkur hugbúnaður er til. Til dæmis,
Þegar ég byrjaði fyrst að rannsaka efnið slæma tölvuþrjóta,
Hin mikla og öfluga PowerShell
Ég hef skrifað um sumar þessara hugmynda áður í
Til viðbótar við sýnin sjálf, á síðunni er hægt að sjá hvað þessi forrit gera. Hybrid greining keyrir spilliforrit í eigin sandkassa og fylgist með kerfissímtölum, hlaupandi ferlum og netvirkni og dregur út grunsamlega textastrengi. Fyrir binaries og aðrar keyranlegar skrár, þ.e. þar sem þú getur ekki einu sinni horft á raunverulegan kóða á háu stigi, blendingsgreining ákveður hvort hugbúnaðurinn sé illgjarn eða bara grunsamlegur út frá keyrsluvirkni hans. Og eftir það er úrtakið þegar metið.
Þegar um er að ræða PowerShell og önnur sýnishorn forskrifta (Visual Basic, JavaScript, osfrv.), gat ég séð kóðann sjálfan. Til dæmis rakst ég á þetta PowerShell dæmi:
Þú getur líka keyrt PowerShell í base64 kóðun til að forðast uppgötvun. Athugaðu notkun á óintervirkum og falnum breytum.
Ef þú hefur lesið færslur mínar um obfuscation, þá veistu að -e valmöguleikinn tilgreinir að innihaldið sé base64 kóðað. Við the vegur, blendingur greining hjálpar líka við þetta með því að afkóða allt til baka. Ef þú vilt prófa að afkóða base64 PowerShell (hér eftir nefnt PS) sjálfur þarftu að keyra þessa skipun:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Farðu dýpra
Ég afkóðaði PS handritið okkar með þessari aðferð, hér að neðan er texti forritsins, þó aðeins breyttur af mér:
Athugaðu að handritið var bundið við dagsetninguna 4. september 2017 og sendi setukökur.
Ég skrifaði um þennan árásarstíl í
Hvað þýðir það að gera?
Fyrir öryggishugbúnað sem skannar Windows atburðaskrár eða eldveggi, kemur base64 kóðun í veg fyrir að strengurinn „WebClient“ finnist með venjulegu textamynstri til að verjast slíkri vefbeiðni. Og þar sem allt „illt“ spilliforritsins er síðan hlaðið niður og sent inn í PowerShell okkar, gerir þessi nálgun okkur þannig kleift að forðast uppgötvun. Eða réttara sagt, það var það sem ég hugsaði fyrst.
Það kemur í ljós að með Windows PowerShell Advanced Logging virkt (sjá greinina mína) muntu geta séð hlaðna línuna í atburðaskránni. Ég er eins og
Við skulum bæta við fleiri atburðarásum
Tölvuþrjótar fela snjallt PowerShell árásir í Microsoft Office fjölvi skrifuð í Visual Basic og öðrum forskriftarmálum. Hugmyndin er að fórnarlambið fái skilaboð, til dæmis frá sendiþjónustu, með meðfylgjandi skýrslu á .doc formi. Þú opnar þetta skjal sem inniheldur fjölvi og það endar með því að ræsa illgjarn PowerShell sjálft.
Oft er Visual Basic handritið sjálft hulið þannig að það kemst frjálslega hjá vírusvarnar- og öðrum spilliforritaskanna. Í anda ofangreinds ákvað ég að kóða ofangreind PowerShell í JavaScript sem æfingu. Hér að neðan eru niðurstöður vinnu minnar:
Skuggað JavaScript sem felur PowerShell okkar. Alvöru tölvuþrjótar gera þetta einu sinni eða tvisvar.
Þetta er önnur tækni sem ég hef séð fljóta um á vefnum: að nota Wscript.Shell til að keyra kóðaða PowerShell. Við the vegur, JavaScript sjálft er
Í okkar tilviki er illgjarn JS forskriftin felld inn sem skrá með .doc.js endingunni. Windows mun venjulega aðeins sýna fyrsta viðskeyti, svo það mun birtast fórnarlambinu sem Word skjal.
JS táknið birtist aðeins í skruntákninu. Það kemur ekki á óvart að margir muni opna þetta viðhengi og halda að þetta sé Word skjal.
Í dæminu mínu breytti ég PowerShell hér að ofan til að hlaða niður handritinu af vefsíðunni minni. Ytri PS-forskriftin prentar bara „Evil Malware“. Eins og þú sérð er hann alls ekki vondur. Auðvitað hafa alvöru tölvuþrjótar áhuga á að fá aðgang að fartölvu eða netþjóni, td í gegnum stjórnskel. Í næstu grein mun ég sýna þér hvernig á að gera þetta með PowerShell Empire.
Ég vona að í fyrstu kynningargreininni hafi við ekki kafað of djúpt í efnið. Nú læt ég þig draga andann og næst byrjum við að skoða raunveruleg dæmi um árásir með skráarlausum spilliforritum án óþarfa inngangsorða eða undirbúnings.
Heimild: www.habr.com