Kanthi artikel iki kita miwiti seri publikasi babagan malware sing angel dipahami. Program peretasan tanpa file, uga dikenal minangka program peretasan tanpa file, biasane nggunakake PowerShell ing sistem Windows kanggo nindakake perintah kanthi meneng kanggo nggoleki lan ngekstrak konten sing penting. Ndeteksi kegiatan peretas tanpa file jahat minangka tugas sing angel, amarga ... antivirus lan akeh sistem deteksi liyane bisa digunakake adhedhasar analisis teken. Nanging kabar apik yaiku piranti lunak kasebut ana. Tuladhane,
Nalika aku miwiti riset topik peretas badass,
PowerShell sing Agung lan Kuat
Aku wis nulis babagan sawetara ide kasebut sadurunge
Saliyane conto dhewe, ing situs sampeyan bisa ndeleng apa sing ditindakake dening program kasebut. Analisis hibrida mbukak malware ing kothak wedhi dhewe lan ngawasi panggilan sistem, proses lan aktivitas jaringan, lan ngekstrak string teks sing curiga. Kanggo binar lan file eksekusi liyane, i.e. ing ngendi sampeyan ora bisa ndeleng kode tingkat dhuwur sing nyata, analisis hibrida nemtokake manawa piranti lunak kasebut mbebayani utawa mung curiga adhedhasar kegiatan runtime. Lan sawise iku sampel wis dievaluasi.
Ing kasus PowerShell lan skrip sampel liyane (Visual Basic, JavaScript, etc.), Aku bisa ndeleng kode kasebut dhewe. Contone, aku nemokake conto PowerShell iki:
Sampeyan uga bisa mbukak PowerShell ing encoding base64 supaya ora deteksi. Elinga panggunaan paramèter Noninteraktif lan Didhelikake.
Yen sampeyan wis maca kirimanku babagan obfuscation, sampeyan ngerti yen pilihan -e nemtokake manawa konten kasebut dienkode base64. Miturut cara, analisis hibrida uga mbantu karo dekoding kabeh bali. Yen sampeyan pengin nyoba dekoding base64 PowerShell (sabanjure diarani PS), sampeyan kudu nglakoni printah iki:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Luwih jero
Aku decoded script PS kita nggunakake metode iki, ing ngisor iki teks program, sanajan rada diowahi dening kula:
Elinga yen naskah kasebut disambungake menyang tanggal 4 September 2017 lan cookie sesi dikirim.
Aku nulis babagan gaya serangan iki ing
Apa kanggo?
Kanggo piranti lunak keamanan mindhai log acara Windows utawa firewall, enkoding base64 nyegah string "WebClient" supaya ora dideteksi dening pola teks biasa kanggo nglindhungi saka panjaluk web kasebut. Lan amarga kabeh "ala" saka malware banjur diundhuh lan diterusake menyang PowerShell, pendekatan iki ngidini kita bisa nyingkiri deteksi. Utawa luwih, sing aku panginten ing wiwitan.
Pranyata yen Windows PowerShell Advanced Logging diaktifake (ndeleng artikelku), sampeyan bakal bisa ndeleng baris sing dimuat ing log acara. Aku kaya
Ayo ditambahake skenario tambahan
Peretas kanthi pinter ndhelikake serangan PowerShell ing makro Microsoft Office sing ditulis ing Visual Basic lan basa skrip liyane. Ing idea iku korban nampa pesen, contone saka layanan pangiriman, karo laporan ditempelake ing format .doc. Sampeyan mbukak dokumen iki sing ngemot makro, lan pungkasane mbukak PowerShell sing ala dhewe.
Asring skrip Visual Basic dhewe dikaburake supaya bisa nyingkiri antivirus lan scanner malware liyane. Ing semangat ing ndhuwur, aku mutusake kanggo ngode PowerShell ing ndhuwur ing JavaScript minangka latihan. Ing ngisor iki asil karyaku:
JavaScript obfuscated ndhelikake PowerShell kita. Peretas nyata nindakake iki sepisan utawa kaping pindho.
Iki minangka teknik liya sing dakdeleng ing web: nggunakake Wscript.Shell kanggo mbukak PowerShell kanthi kode. Miturut cara, JavaScript dhewe
Ing kasus kita, skrip JS angkoro ditempelake minangka file kanthi ekstensi .doc.js. Windows biasane mung nuduhake sufiks pisanan, saengga bakal katon ing korban minangka dokumen Word.
Lambang JS mung katon ing lambang gulung. Ora nggumunake yen akeh wong bakal mbukak lampiran iki kanthi mikir yen iki minangka dokumen Word.
Ing conto, aku ngowahi PowerShell ing ndhuwur kanggo ndownload skrip saka situs webku. Skrip PS remot mung nyithak "Evil Malware". Kaya sing sampeyan ngerteni, dheweke ora jahat. Mesthi, peretas nyata kasengsem entuk akses menyang laptop utawa server, ucapake, liwat cangkang perintah. Ing artikel sabanjure, aku bakal nuduhake sampeyan carane nindakake iki nggunakake PowerShell Empire.
Muga-muga kanggo artikel pambuko pisanan, kita ora nyilem menyang topik kasebut. Saiki aku bakal ngidini sampeyan ambegan, lan sabanjure kita bakal miwiti ndeleng conto nyata serangan nggunakake malware tanpa file tanpa tembung utawa persiapan sing ora perlu.
Source: www.habr.com