とらえどころのないマルウェアの冒険、パート I

この記事から、とらえどころのないマルウェアに関する一連の出版物を開始します。 ファイルレス ハッキング プログラムとも呼ばれるファイルレス ハッキング プログラムは、通常、Windows システム上で PowerShell を使用して、貴重なコンテンツを検索して抽出するコマンドをサイレントに実行します。 悪意のあるファイルなしでハッカーの活動を検出することは困難な作業です。なぜなら... ウイルス対策やその他の多くの検出システムは、シグネチャ分析に基づいて機能します。 しかし良いニュースは、そのようなソフトウェアが存在するということです。 例えば、 UBAシステム、ファイル システム内の悪意のあるアクティビティを検出できます。

私が最初に凶悪なハッカーというテーマについて研究し始めたとき、 従来の感染方法を使用しない被害者のコンピュータで利用できるツールとソフトウェアのみでしたが、これがすぐに一般的な攻撃方法になるとは思いもしませんでした。 セキュリティ専門家 彼らは言うこれがトレンドになりつつあること、そして 怖い記事の見出し - これの確認。 そこで、このテーマに関する一連の出版物を作成することにしました。

素晴らしく強力な PowerShell

これらのアイデアのいくつかについては以前に書いたことがあります PowerShell 難読化シリーズですが、より理論的な概念に基づいています。 後で出会ったのが ハイブリッド分析の Web サイトここでは、野生で「捕獲された」マルウェアのサンプルを見つけることができます。 このサイトを使用してファイルレス マルウェアのサンプルを探してみることにしました。 そして私は成功しました。 ちなみに、独自のマルウェア探索活動に参加したい場合は、このサイトで認証を受ける必要があります。そうすることで、あなたがホワイト ハット スペシャリストとしての仕事を行っていることをサイトに認識させることができます。 セキュリティブロガーとして、私は何の疑問もなく合格しました。 きっとあなたにもできると思います。

サンプル自体に加えて、サイトではこれらのプログラムが何を行うかを見ることができます。 ハイブリッド分析は、独自のサンドボックスでマルウェアを実行し、システム コール、実行中のプロセス、ネットワーク アクティビティを監視し、疑わしいテキスト文字列を抽出します。 バイナリおよびその他の実行可能ファイルの場合、つまり実際の高レベルのコードを見ることさえできない場合、ハイブリッド分析は、ソフトウェアが悪意のあるものであるか、実行時のアクティビティに基づいて単に疑わしいものであるかを判断します。 その後、サンプルはすでに評価されています。

PowerShell やその他のサンプル スクリプト (Visual Basic、JavaScript など) の場合は、コード自体を確認することができました。 たとえば、次の PowerShell インスタンスを見つけました。

検出を回避するために、PowerShell を Base64 エンコードで実行することもできます。 Noninteractive パラメータと Hidden パラメータの使用に注意してください。

難読化に関する私の投稿を読んだことがある方なら、-e オプションがコンテンツが Base64 でエンコードされていることを指定していることをご存知でしょう。 ちなみに、ハイブリッド分析は、すべてをデコードし直すことでこれにも役立ちます。 Base64 PowerShell (以下、PS) を自分でデコードしてみたい場合は、次のコマンドを実行する必要があります。

 [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))

さらに深く進む

この方法を使用して PS スクリプトをデコードしました。以下はプログラムのテキストですが、私が少し変更しました。

スクリプトは 4 年 2017 月 XNUMX 日の日付に関連付けられており、セッション Cookie を送信していることに注意してください。

この攻撃スタイルについては、 PS難読化シリーズここでは、base64 でエンコードされたスクリプト自体がロードされます。 ない 別のサイトからのマルウェアを攻撃し、.Net Framework ライブラリの WebClient オブジェクトを使用して重労働を実行します。

それは何のためにあるの？

Windows イベント ログやファイアウォールをスキャンするセキュリティ ソフトウェアの場合、base64 エンコードにより、文字列「WebClient」がプレーン テキスト パターンによって検出されるのを防ぎ、そのような Web リクエストの実行を防ぎます。 そして、マルウェアのすべての「悪」がダウンロードされて PowerShell に渡されるため、このアプローチにより検出を完全に回避することができます。 というか、最初はそう思ってました。

Windows PowerShell の高度なログ機能を有効にすると (私の記事を参照)、イベント ログに読み込まれた行が表示されることがわかりました。 私は似ています その他 ) Microsoft はこのレベルのログ記録をデフォルトで有効にするべきだと思います。 したがって、拡張ログを有効にすると、上で説明した例に従って、PS スクリプトからの完了したダウンロード要求が Windows イベント ログに表示されます。 したがって、これを有効にするのは理にかなっていますね。

追加のシナリオを追加しましょう

ハッカーは、Visual Basic やその他のスクリプト言語で記述された Microsoft Office マクロに PowerShell 攻撃を巧妙に隠します。 その考え方は、被害者が、.doc 形式のレポートが添付されたメッセージを配信サービスなどから受信するというものです。 マクロを含むこのドキュメントを開くと、悪意のある PowerShell 自体が起動されてしまいます。

多くの場合、Visual Basic スクリプト自体は難読化されているため、ウイルス対策やその他のマルウェア スキャナーを自由に回避できます。 上記の精神に基づいて、演習として上記の PowerShell を JavaScript でコーディングすることにしました。 私の仕事の結果は以下のとおりです。

PowerShell を隠す難読化された JavaScript。 本物のハッカーはこれを XNUMX 回か XNUMX 回行います。

これは、Web 上でよく見かけるもう XNUMX つのテクニックです。Wscript.Shell を使用して、コード化された PowerShell を実行します。 ちなみにJavaScript自体は 手段 マルウェアの配信。 Windows の多くのバージョンには、 Windowsスクリプトホスト、それ自体が JS を実行できます。
この例では、悪意のある JS スクリプトは .doc.js 拡張子のファイルとして埋め込まれています。 通常、Windows は最初のサフィックスのみを表示するため、被害者にはそれが Word 文書として表示されます。

JS アイコンはスクロール アイコンにのみ表示されます。 多くの人がこの添付ファイルを Word 文書だと思って開くのも不思議ではありません。

この例では、Web サイトからスクリプトをダウンロードするために上記の PowerShell を変更しました。 リモート PS スクリプトは「Evil Malware」を出力するだけです。 ご覧のとおり、彼はまったく悪人ではありません。 もちろん、本物のハッカーは、たとえばコマンド シェルを通じてラップトップやサーバーにアクセスすることに興味を持っています。 次の記事では、PowerShell Empire を使用してこれを行う方法を説明します。

最初の紹介記事では、このトピックについてあまり深く掘り下げないでいただければ幸いです。 ここで一息ついて、次回は不必要な前置きや準備をせずに、ファイルレス マルウェアを使用した攻撃の実例を見て​​いきます。

出所： habr.com