Kanthi artikel iki kita miwiti seri publikasi babagan malware sing angel dipahami. Program peretasan tanpa file, uga dikenal minangka program peretasan tanpa file, biasane nggunakake PowerShell ing sistem Windows kanggo nindakake perintah kanthi meneng kanggo nggoleki lan ngekstrak konten sing penting. Ndeteksi kegiatan peretas tanpa file jahat minangka tugas sing angel, amarga ... antivirus lan akeh sistem deteksi liyane bisa digunakake adhedhasar analisis teken. Nanging kabar apik yaiku piranti lunak kasebut ana. Tuladhane, , bisa ndeteksi aktivitas angkoro ing sistem file.
Nalika aku miwiti riset topik peretas badass, , nanging mung alat lan piranti lunak sing kasedhiya ing komputer korban, aku ora ngerti manawa iki bakal dadi cara serangan sing populer. Profesional Keamanan sing iki dadi gaya, lan - konfirmasi iki. Mulane, aku mutusake kanggo nggawe seri publikasi babagan topik iki.
PowerShell sing Agung lan Kuat
Aku wis nulis babagan sawetara ide kasebut sadurunge , nanging luwih adhedhasar konsep teoretis. Mengko aku ketemu , ngendi sampeyan bisa nemokake conto malware "kejiret" ing alam bΓ©bas. Aku mutusake nyoba nggunakake situs iki kanggo nemokake conto malware tanpa file. Lan aku kasil. Contone, yen sampeyan pengin mbukak ekspedisi mburu malware dhewe, sampeyan kudu diverifikasi dening situs iki supaya dheweke ngerti yen sampeyan nindakake pakaryan minangka spesialis topi putih. Minangka blogger keamanan, aku lulus tanpa pitakonan. Aku yakin sampeyan uga bisa.
Saliyane conto dhewe, ing situs sampeyan bisa ndeleng apa sing ditindakake dening program kasebut. Analisis hibrida mbukak malware ing kothak wedhi dhewe lan ngawasi panggilan sistem, proses lan aktivitas jaringan, lan ngekstrak string teks sing curiga. Kanggo binar lan file eksekusi liyane, i.e. ing ngendi sampeyan ora bisa ndeleng kode tingkat dhuwur sing nyata, analisis hibrida nemtokake manawa piranti lunak kasebut mbebayani utawa mung curiga adhedhasar kegiatan runtime. Lan sawise iku sampel wis dievaluasi.
Ing kasus PowerShell lan skrip sampel liyane (Visual Basic, JavaScript, etc.), Aku bisa ndeleng kode kasebut dhewe. Contone, aku nemokake conto PowerShell iki:
Sampeyan uga bisa mbukak PowerShell ing encoding base64 supaya ora deteksi. Elinga panggunaan paramèter Noninteraktif lan Didhelikake.
Yen sampeyan wis maca kirimanku babagan obfuscation, sampeyan ngerti yen pilihan -e nemtokake manawa konten kasebut dienkode base64. Miturut cara, analisis hibrida uga mbantu karo dekoding kabeh bali. Yen sampeyan pengin nyoba dekoding base64 PowerShell (sabanjure diarani PS), sampeyan kudu nglakoni printah iki:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Luwih jero
Aku decoded script PS kita nggunakake metode iki, ing ngisor iki teks program, sanajan rada diowahi dening kula:
Elinga yen naskah kasebut disambungake menyang tanggal 4 September 2017 lan cookie sesi dikirim.
Aku nulis babagan gaya serangan iki ing , ing endi skrip sing dienkode base64 dhewe dimuat ilang malware saka situs liyane, nggunakake obyek WebClient perpustakaan .Net Framework kanggo nindakake ngangkat abot.
Apa kanggo?
Kanggo piranti lunak keamanan mindhai log acara Windows utawa firewall, enkoding base64 nyegah string "WebClient" supaya ora dideteksi dening pola teks biasa kanggo nglindhungi saka panjaluk web kasebut. Lan amarga kabeh "ala" saka malware banjur diundhuh lan diterusake menyang PowerShell, pendekatan iki ngidini kita bisa nyingkiri deteksi. Utawa luwih, sing aku panginten ing wiwitan.
Pranyata yen Windows PowerShell Advanced Logging diaktifake (ndeleng artikelku), sampeyan bakal bisa ndeleng baris sing dimuat ing log acara. Aku kaya ) Aku mikir Microsoft kudu ngaktifake level logging iki kanthi standar. Mulane, kanthi logging lengkap, kita bakal weruh ing log acara Windows panjalukan download sing wis rampung saka skrip PS miturut conto sing kita rembugan ing ndhuwur. Mulane, iku ndadekake pangertèn kanggo ngaktifake, apa sampeyan ora setuju?
Ayo ditambahake skenario tambahan
Peretas kanthi pinter ndhelikake serangan PowerShell ing makro Microsoft Office sing ditulis ing Visual Basic lan basa skrip liyane. Ing idea iku korban nampa pesen, contone saka layanan pangiriman, karo laporan ditempelake ing format .doc. Sampeyan mbukak dokumen iki sing ngemot makro, lan pungkasane mbukak PowerShell sing ala dhewe.
Asring skrip Visual Basic dhewe dikaburake supaya bisa nyingkiri antivirus lan scanner malware liyane. Ing semangat ing ndhuwur, aku mutusake kanggo ngode PowerShell ing ndhuwur ing JavaScript minangka latihan. Ing ngisor iki asil karyaku:
JavaScript obfuscated ndhelikake PowerShell kita. Peretas nyata nindakake iki sepisan utawa kaping pindho.
Iki minangka teknik liya sing dakdeleng ing web: nggunakake Wscript.Shell kanggo mbukak PowerShell kanthi kode. Miturut cara, JavaScript dhewe pangiriman malware. Akeh versi Windows wis dibangun ing , sing dhewe bisa mbukak JS.
Ing kasus kita, skrip JS angkoro ditempelake minangka file kanthi ekstensi .doc.js. Windows biasane mung nuduhake sufiks pisanan, saengga bakal katon ing korban minangka dokumen Word.
Lambang JS mung katon ing lambang gulung. Ora nggumunake yen akeh wong bakal mbukak lampiran iki kanthi mikir yen iki minangka dokumen Word.
Ing conto, aku ngowahi PowerShell ing ndhuwur kanggo ndownload skrip saka situs webku. Skrip PS remot mung nyithak "Evil Malware". Kaya sing sampeyan ngerteni, dheweke ora jahat. Mesthi, peretas nyata kasengsem entuk akses menyang laptop utawa server, ucapake, liwat cangkang perintah. Ing artikel sabanjure, aku bakal nuduhake sampeyan carane nindakake iki nggunakake PowerShell Empire.
Muga-muga kanggo artikel pambuko pisanan, kita ora nyilem menyang topik kasebut. Saiki aku bakal ngidini sampeyan ambegan, lan sabanjure kita bakal miwiti ndeleng conto nyata serangan nggunakake malware tanpa file tanpa tembung utawa persiapan sing ora perlu.
Source: www.habr.com