მიუღწეველი მავნე პროგრამის თავგადასავალი, ნაწილი I

ამ სტატიით ჩვენ ვიწყებთ პუბლიკაციების სერიას გაუგებარი მავნე პროგრამების შესახებ. უსასყიდლო ჰაკერული პროგრამები, რომლებიც ასევე ცნობილია როგორც უფასო ჰაკერული პროგრამები, ჩვეულებრივ იყენებენ PowerShell-ს Windows სისტემებზე, რათა ჩუმად აწარმოონ ბრძანებები ღირებული შინაარსის მოსაძებნად და ამოსაღებად. ჰაკერების აქტივობის გამოვლენა მავნე ფაილების გარეშე რთული ამოცანაა, რადგან... ანტივირუსები და მრავალი სხვა გამოვლენის სისტემა მუშაობს ხელმოწერის ანალიზზე დაყრდნობით. მაგრამ კარგი ამბავი ის არის, რომ ასეთი პროგრამული უზრუნველყოფა არსებობს. Მაგალითად, UBA სისტემები, შეუძლია აღმოაჩინოს მავნე აქტივობა ფაილურ სისტემებში.

როდესაც პირველად დავიწყე ცუდი ჰაკერების თემის კვლევა, არ იყენებს ინფექციის ტრადიციულ მეთოდებს, მაგრამ მხოლოდ მსხვერპლის კომპიუტერზე ხელმისაწვდომი ხელსაწყოები და პროგრამული უზრუნველყოფა, წარმოდგენა არ მქონდა, რომ ეს მალე გახდებოდა თავდასხმის პოპულარული მეთოდი. უსაფრთხოების პროფესიონალები ისინი ამბობენ, რომრომ ეს ტენდენციად იქცევა და საშინელი სტატიების სათაურები - ამის დადასტურება. ამიტომ გადავწყვიტე ამ თემაზე პუბლიკაციების სერია გამეკეთებინა.

დიდი და ძლიერი PowerShell

ამ იდეების შესახებ ადრე დავწერე PowerShell დაბნელების სერია, მაგრამ უფრო თეორიულ კონცეფციაზე დაფუძნებული. მოგვიანებით შემხვდა საიტი ჰიბრიდული ანალიზისთვის, სადაც შეგიძლიათ იპოვოთ მავნე პროგრამების ნიმუშები "დაჭერილი" ველურ ბუნებაში. გადავწყვიტე გამომეყენებინა ეს საიტი უფაილი მავნე პროგრამის ნიმუშების მოსაძებნად. და მივაღწიე წარმატებას. სხვათა შორის, თუ გსურთ წახვიდეთ საკუთარ მავნე პროგრამაზე ნადირობის ექსპედიციაში, თქვენ უნდა დაადასტუროთ ეს საიტი, რათა მათ იცოდნენ, რომ თქვენ ასრულებთ სამუშაოს, როგორც თეთრი ქუდის სპეციალისტი. როგორც უსაფრთხოების ბლოგერი, მე ის ჩავაბარე უკითხავად. დარწმუნებული ვარ შენც შეგიძლია.

თავად ნიმუშების გარდა, საიტზე შეგიძლიათ ნახოთ რას აკეთებენ ეს პროგრამები. ჰიბრიდული ანალიზი აწარმოებს მავნე პროგრამას საკუთარ სავარჯიშოში და აკონტროლებს სისტემურ ზარებს, მიმდინარე პროცესებსა და ქსელის აქტივობას და ამოიღებს საეჭვო ტექსტურ სტრიქონებს. ბინარული და სხვა შესრულებადი ფაილებისთვის, ე.ი. სადაც თქვენ ვერც კი შეხედავთ რეალურ მაღალი დონის კოდს, ჰიბრიდული ანალიზი წყვეტს, არის თუ არა პროგრამული უზრუნველყოფა მავნე ან უბრალოდ საეჭვო მისი გაშვების აქტივობიდან გამომდინარე. და ამის შემდეგ ნიმუში უკვე შეფასებულია.

PowerShell-ისა და სხვა სანიმუშო სკრიპტების შემთხვევაში (Visual Basic, JavaScript და ა.შ.), მე თვითონ შევძელი კოდის ნახვა. მაგალითად, მე წავაწყდი PowerShell-ის ამ მაგალითს:

თქვენ ასევე შეგიძლიათ გაუშვათ PowerShell base64 კოდირებით, რათა თავიდან აიცილოთ გამოვლენა. გაითვალისწინეთ არაინტერაქტიული და დამალული პარამეტრების გამოყენება.

თუ თქვენ წაიკითხეთ ჩემი პოსტები დაბნელების შესახებ, მაშინ იცით, რომ -e ოფცია მიუთითებს, რომ შინაარსი არის base64 კოდირებული. სხვათა შორის, ჰიბრიდული ანალიზიც ამაში გვეხმარება ყველაფრის უკან დეკოდირებით. თუ გსურთ თავად სცადოთ base64 PowerShell-ის (შემდგომში PS) დეკოდირება, უნდა გაუშვათ ეს ბრძანება:

 [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))

უფრო ღრმად შედი

მე გავშიფრე ჩვენი PS სკრიპტი ამ მეთოდის გამოყენებით, ქვემოთ მოცემულია პროგრამის ტექსტი, თუმცა ჩემ მიერ ოდნავ შეცვლილი:

გაითვალისწინეთ, რომ სკრიპტი მიბმული იყო 4 წლის 2017 სექტემბრის თარიღთან და გადასცა სესიის ქუქიები.

თავდასხმის ამ სტილის შესახებ დავწერე PS დაბნელების სერია, რომელშიც იტვირთება თავად base64 კოდირებული სკრიპტი დაკარგული მავნე პროგრამა სხვა საიტიდან, იყენებს .Net Framework ბიბლიოთეკის WebClient ობიექტს მძიმე ასამაღლებლად.

რას აკეთებთ?

უსაფრთხოების პროგრამული უზრუნველყოფისთვის, რომელიც სკანირებს Windows-ის მოვლენის ჟურნალებს ან ფეიერვოლებს, base64 კოდირება ხელს უშლის სტრიქონის "WebClient"-ის გამოვლენას უბრალო ტექსტის ნიმუშით, რათა დაიცვას ასეთი ვებ მოთხოვნის გაკეთება. და ვინაიდან მავნე პროგრამის მთელი „ბოროტება“ შემდეგ ჩამოიტვირთება და გადადის ჩვენს PowerShell-ში, ეს მიდგომა საშუალებას გვაძლევს სრულად ავიცილოთ თავიდან აღმოჩენა. უფრო სწორად, თავიდან ასე მეგონა.

გამოდის, რომ Windows PowerShell Advanced Logging ჩართულით (იხილეთ ჩემი სტატია), თქვენ შეძლებთ იხილოთ ჩატვირთული ხაზი მოვლენების ჟურნალში. მე ისეთი ვარ და სხვები ) ვფიქრობ, მაიკროსოფტმა უნდა ჩართოს ლოგის ეს დონე ნაგულისხმევად. ამიტომ, გაფართოებული ჟურნალის ჩართვის შემთხვევაში, ჩვენ ვნახავთ Windows-ის მოვლენის ჟურნალში დასრულებულ ჩამოტვირთვის მოთხოვნას PS სკრიპტიდან ზემოთ განხილული მაგალითის მიხედვით. ამიტომ, აზრი აქვს მის გააქტიურებას, არ ეთანხმებით?

დავამატოთ დამატებითი სცენარები

ჰაკერები ჭკვიანურად მალავენ PowerShell-ის შეტევებს Microsoft Office მაკროებში, რომლებიც დაწერილია Visual Basic-ში და სხვა სკრიპტირების ენებზე. იდეა იმაში მდგომარეობს, რომ მსხვერპლი იღებს შეტყობინებას, მაგალითად, მიწოდების სერვისიდან, თანდართული ანგარიშით .doc ფორმატში. თქვენ ხსნით ამ დოკუმენტს, რომელიც შეიცავს მაკროს, და ის მთავრდება მავნე PowerShell-ის გაშვებით.

ხშირად თავად Visual Basic სკრიპტი ბუნდოვანია ისე, რომ თავისუფლად აარიდოს თავი ანტივირუსს და სხვა მავნე პროგრამულ სკანერებს. ზემოაღნიშნულის სულისკვეთებით, გადავწყვიტე ზემოთ მოყვანილი PowerShell-ის კოდირება JavaScript-ში, როგორც სავარჯიშო. ქვემოთ მოცემულია ჩემი მუშაობის შედეგები:

ბუნდოვანი JavaScript მალავს ჩვენს PowerShell-ს. ნამდვილი ჰაკერები ამას აკეთებენ ერთხელ ან ორჯერ.

ეს არის კიდევ ერთი ტექნიკა, რომელიც მე ვნახე ინტერნეტში მოძრავი: Wscript.Shell-ის გამოყენებით კოდირებული PowerShell-ის გასაშვებად. სხვათა შორის, თავად JavaScript არის ნიშნავს მავნე პროგრამის მიწოდება. Windows-ის ბევრ ვერსიას აქვს ჩაშენებული Windows სკრიპტის ჰოსტი, რომელსაც თავად შეუძლია JS-ის გაშვება.
ჩვენს შემთხვევაში, მავნე JS სკრიპტი ჩაშენებულია ფაილის სახით .doc.js გაფართოებით. Windows, როგორც წესი, აჩვენებს მხოლოდ პირველ სუფიქსს, ასე რომ, ის გამოჩნდება მსხვერპლისთვის, როგორც Word დოკუმენტი.

JS ხატულა ჩნდება მხოლოდ გადახვევის ხატულაზე. გასაკვირი არ არის, რომ ბევრი ადამიანი გახსნის ამ დანართს, ფიქრობს, რომ ეს არის Word დოკუმენტი.

ჩემს მაგალითში, მე შევცვალე PowerShell ზემოთ, რომ ჩამოვწერო სკრიპტი ჩემი ვებსაიტიდან. დისტანციური PS სკრიპტი უბრალოდ ბეჭდავს "Evil Malware". როგორც ხედავთ, ის სულაც არ არის ბოროტი. რა თქმა უნდა, ნამდვილი ჰაკერები დაინტერესებულნი არიან ლეპტოპზე ან სერვერზე წვდომით, ვთქვათ, ბრძანების ჭურვის მეშვეობით. შემდეგ სტატიაში მე გაჩვენებთ, თუ როგორ უნდა გააკეთოთ ეს PowerShell Empire-ის გამოყენებით.

იმედი მაქვს, რომ პირველი შესავალი სტატიისთვის ძალიან ღრმად არ ჩავუღრმავდით თემას. ახლა ნებას მოგცემთ ამოისუნთქოთ და შემდეგ ჯერზე დავიწყებთ თავდასხმების რეალურ მაგალითებს უფასილი მავნე პროგრამების გამოყენებით ყოველგვარი ზედმეტი შესავალი სიტყვებისა და მომზადების გარეშე.

წყარო: www.habr.com