Kanthi artikel iki, kita miwiti seri publikasi babagan malware sing angel ditemokake. Program hacking sing ora ninggalake jejak serangan, uga dikenal minangka fileless, biasane nggunakake PowerShell ing sistem. Windowskanggo nglakokake prentah kanthi diam-diam kanggo nggoleki lan ngekstrak konten sing penting. Ndeteksi aktivitas peretas tanpa file angkoro minangka tugas sing angel, amarga antivirus lan akeh sistem deteksi liyane gumantung marang analisis tanda tangan. Nanging kabar apik yaiku piranti lunak kasebut pancen ana. Contone, , bisa ndeteksi aktivitas angkoro ing sistem file.
Nalika aku miwiti riset topik peretas badass, , nanging mung alat lan piranti lunak sing kasedhiya ing komputer korban, aku ora ngerti manawa iki bakal dadi cara serangan sing populer. Profesional Keamanan sing iki dadi gaya, lan - konfirmasi iki. Mulane, aku mutusake kanggo nggawe seri publikasi babagan topik iki.
PowerShell sing Agung lan Kuat
Aku wis nulis babagan sawetara ide kasebut sadurunge , nanging luwih adhedhasar konsep teoretis. Mengko aku ketemu , ngendi sampeyan bisa nemokake conto malware "kejiret" ing alam bébas. Aku mutusake nyoba nggunakake situs iki kanggo nemokake conto malware tanpa file. Lan aku kasil. Contone, yen sampeyan pengin mbukak ekspedisi mburu malware dhewe, sampeyan kudu diverifikasi dening situs iki supaya dheweke ngerti yen sampeyan nindakake pakaryan minangka spesialis topi putih. Minangka blogger keamanan, aku lulus tanpa pitakonan. Aku yakin sampeyan uga bisa.
Saliyane conto dhewe, ing situs sampeyan bisa ndeleng apa sing ditindakake dening program kasebut. Analisis hibrida mbukak malware ing kothak wedhi dhewe lan ngawasi panggilan sistem, proses lan aktivitas jaringan, lan ngekstrak string teks sing curiga. Kanggo binar lan file eksekusi liyane, i.e. ing ngendi sampeyan ora bisa ndeleng kode tingkat dhuwur sing nyata, analisis hibrida nemtokake manawa piranti lunak kasebut mbebayani utawa mung curiga adhedhasar kegiatan runtime. Lan sawise iku sampel wis dievaluasi.
Ing kasus PowerShell lan skrip sampel liyane (Visual Basic, JavaScript, etc.), Aku bisa ndeleng kode kasebut dhewe. Contone, aku nemokake conto PowerShell iki:
Sampeyan uga bisa mbukak PowerShell ing encoding base64 supaya ora deteksi. Elinga panggunaan paramèter Noninteraktif lan Didhelikake.
Yen sampeyan wis maca kirimanku babagan obfuscation, sampeyan ngerti yen pilihan -e nemtokake manawa konten kasebut dienkode base64. Miturut cara, analisis hibrida uga mbantu karo dekoding kabeh bali. Yen sampeyan pengin nyoba dekoding base64 PowerShell (sabanjure diarani PS), sampeyan kudu nglakoni printah iki:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Luwih jero
Aku decoded script PS kita nggunakake metode iki, ing ngisor iki teks program, sanajan rada diowahi dening kula:
Elinga yen naskah kasebut disambungake menyang tanggal 4 September 2017 lan cookie sesi dikirim.
Aku nulis babagan gaya serangan iki ing , ing endi skrip sing dienkode base64 dhewe dimuat ilang malware saka situs liyane, nggunakake obyek WebClient perpustakaan .Net Framework kanggo nindakake ngangkat abot.
Apa kanggo?
Kanggo piranti lunak keamanan sing mindhai log kedadeyan Windows utawa firewall, encoding base64 nyegah string "WebClient" supaya ora dideteksi dening pola teks sing prasaja, saengga nglindhungi saka panjalukan web kasebut. Lan amarga kabeh "ala" malware banjur diundhuh lan dikirim menyang PowerShell, pendekatan iki ngidini kanggo ngindhari deteksi kanthi lengkap. Utawa paling ora, kuwi sing dakpikirake wiwitane.
Jebul nganggo logging log tingkat lanjut sing diaktifake Windows PowerShell (waca artikelku) sampeyan bakal bisa ndeleng baris sing dimuat ing log acara. Aku (minangka ) Aku percaya Microsoft kudune ngaktifake level logging iki kanthi standar. Mulane, kanthi logging sing luwih lengkap diaktifake, kita bakal weruh ing log acara Windows Panjaluk unduhan saka skrip PS ditindakake miturut conto sing wis dirembug ing ndhuwur. Dadi, masuk akal kanggo ngaktifake, ta?
Ayo ditambahake skenario tambahan
Peretas kanthi pinter ndhelikake serangan PowerShell ing makro Microsoft Office sing ditulis ing Visual Basic lan basa skrip liyane. Ing idea iku korban nampa pesen, contone saka layanan pangiriman, karo laporan ditempelake ing format .doc. Sampeyan mbukak dokumen iki sing ngemot makro, lan pungkasane mbukak PowerShell sing ala dhewe.
Asring skrip Visual Basic dhewe dikaburake supaya bisa nyingkiri antivirus lan scanner malware liyane. Ing semangat ing ndhuwur, aku mutusake kanggo ngode PowerShell ing ndhuwur ing JavaScript minangka latihan. Ing ngisor iki asil karyaku:
JavaScript obfuscated ndhelikake PowerShell kita. Peretas nyata nindakake iki sepisan utawa kaping pindho.
Iki minangka teknik liya sing dakdeleng ing web: nggunakake Wscript.Shell kanggo mbukak PowerShell kanthi kode. Miturut cara, JavaScript dhewe Pangiriman malware. Akeh versi Windows duwe bawaan , sing dhewe bisa mbukak JS.
Ing kasus kita, skrip JS sing mbebayani disematkan minangka file nganggo ekstensi .doc.js. Windows, biasane mung nuduhake akhiran pisanan, mula bakal katon minangka dokumen Word dening korban.
Lambang JS mung katon ing lambang gulung. Ora nggumunake yen akeh wong bakal mbukak lampiran iki kanthi mikir yen iki minangka dokumen Word.
Ing conto, aku ngowahi PowerShell ing ndhuwur kanggo ndownload skrip saka situs webku. Skrip PS remot mung nyithak "Evil Malware". Kaya sing sampeyan ngerteni, dheweke ora jahat. Mesthi, peretas nyata kasengsem entuk akses menyang laptop utawa server, ucapake, liwat cangkang perintah. Ing artikel sabanjure, aku bakal nuduhake sampeyan carane nindakake iki nggunakake PowerShell Empire.
Muga-muga kanggo artikel pambuko pisanan, kita ora nyilem menyang topik kasebut. Saiki aku bakal ngidini sampeyan ambegan, lan sabanjure kita bakal miwiti ndeleng conto nyata serangan nggunakake malware tanpa file tanpa tembung utawa persiapan sing ora perlu.
Source: www.habr.com
