Осы мақаламен біз ұсталмайтын зиянды бағдарлама туралы жарияланымдар сериясын бастаймыз. Файлсыз бұзу бағдарламалары, сондай-ақ файлсыз бұзу бағдарламалары ретінде белгілі, әдетте құнды мазмұнды іздеу және шығару үшін пәрмендерді дыбыссыз іске қосу үшін Windows жүйелерінде PowerShell бағдарламасын пайдаланады. Зиянды файлдарсыз хакерлер әрекетін анықтау қиын міндет, себебі... антивирустар және көптеген басқа анықтау жүйелері қолтаңбаны талдау негізінде жұмыс істейді. Бірақ жақсы жаңалық - мұндай бағдарламалық жасақтама бар. Мысалы,
Мен алғаш рет жаман хакерлер тақырыбын зерттей бастағанда,
Үлкен және қуатты PowerShell
Мен бұл идеялардың кейбірі туралы бұрын жазғанмын
Үлгілерден басқа сайтта сіз бұл бағдарламалардың не істейтінін көре аласыз. Гибридтік талдау зиянды бағдарламаны өзінің жеке құм жәшігінде іске қосады және жүйелік қоңырауларды, іске қосылған процестерді және желі әрекетін бақылайды және күдікті мәтін жолдарын шығарады. Екілік және басқа орындалатын файлдар үшін, яғни. нақты жоғары деңгейлі кодты қарау мүмкін болмаса, гибридті талдау бағдарламалық жасақтаманың зиянды немесе жай ғана күдікті екенін оның орындалу уақытындағы белсенділігіне қарай шешеді. Осыдан кейін үлгі бағаланады.
PowerShell және басқа үлгі сценарийлері (Visual Basic, JavaScript және т.б.) жағдайында мен кодтың өзін көре алдым. Мысалы, мен осы PowerShell данасын кездестірдім:
Анықтауды болдырмау үшін PowerShell-ті base64 кодтауында іске қосуға болады. Интерактивті емес және Жасырын параметрлерді пайдалануды ескеріңіз.
Егер сіз түсініксіздеу туралы жазбаларымды оқыған болсаңыз, онда -e опциясы мазмұнның base64 кодталғанын көрсететінін білесіз. Айтпақшы, гибридті талдау бәрін кері декодтау арқылы да көмектеседі. base64 PowerShell (бұдан әрі - PS) кодты өзіңіз шешіп көргіңіз келсе, мына пәрменді орындауыңыз керек:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Тереңірек барыңыз
Мен осы әдіс арқылы PS сценарийін декодтадым, төменде мен сәл өзгерткен бағдарламаның мәтіні берілген:
Сценарий 4 жылдың 2017 қыркүйегіндегі күнге байланыстырылғанын және сеанс cookie файлдарын жібергенін ескеріңіз.
Мен шабуылдың бұл стилі туралы жаздым
ол не істеу керек?
Windows оқиғалар журналдарын немесе брандмауэрлерді сканерлеуге арналған қауіпсіздік бағдарламалық құралы үшін base64 кодтауы осындай веб-сұраныс жасаудан қорғау үшін қарапайым мәтін үлгісі арқылы «WebClient» жолын анықтауға жол бермейді. Зиянды бағдарламаның барлық «зұлымдықтары» жүктеліп, біздің PowerShell-ге жіберілетіндіктен, бұл тәсіл бізге анықтаудан толығымен құтылуға мүмкіндік береді. Дәлірек айтқанда, мен басында солай ойладым.
Windows PowerShell Advanced Logging қосылған кезде (менің мақаламды қараңыз) оқиғалар журналында жүктелген жолды көре аласыз. сияқтымын
Қосымша сценарийлерді қосамыз
Хакерлер Visual Basic және басқа сценарий тілдерінде жазылған Microsoft Office макростарындағы PowerShell шабуылдарын ақылмен жасырады. Идеясы жәбірленуші хабарды, мысалы, жеткізу қызметінен, .doc пішіміндегі қоса берілген есеппен алады. Сіз макросты қамтитын осы құжатты ашасыз және ол зиянды PowerShell бағдарламасын іске қосады.
Көбінесе Visual Basic сценарийінің өзі антивирустан және басқа зиянды бағдарлама сканерлерінен еркін айналып өту үшін бұлыңғыр болады. Жоғарыда айтылғандардың рухында мен жаттығу ретінде жоғарыдағы PowerShell бағдарламасын JavaScript-те кодтауды шештім. Төменде менің жұмысымның нәтижелері берілген:
Біздің PowerShell-ті жасыратын түсініксіз JavaScript. Нағыз хакерлер мұны бір немесе екі рет жасайды.
Бұл интернетте қалқып жүрген мен көрген тағы бір әдіс: кодталған PowerShell іске қосу үшін Wscript.Shell пайдалану. Айтпақшы, JavaScript өзі
Біздің жағдайда зиянды JS сценарийі .doc.js кеңейтімі бар файл ретінде ендірілген. Windows әдетте бірінші жұрнақты ғана көрсетеді, сондықтан ол жәбірленушіге Word құжаты ретінде көрінеді.
JS белгішесі тек айналдыру белгішесінде пайда болады. Көптеген адамдар бұл қосымшаны Word құжаты деп ойлап ашуы ғажап емес.
Менің мысалда мен веб-сайтымнан сценарийді жүктеп алу үшін жоғарыдағы PowerShell бағдарламасын өзгерттім. Қашықтағы PS сценарийі «Зұлымдық зиянды бағдарламаны» басып шығарады. Көріп отырғаныңыздай, ол мүлдем зұлым емес. Әрине, нағыз хакерлер ноутбукке немесе серверге, айталық, командалық қабық арқылы қол жеткізуге мүдделі. Келесі мақалада мен мұны PowerShell Empire көмегімен қалай жасау керектігін көрсетемін.
Бірінші кіріспе мақалада біз тақырыпқа терең бойламадық деп үміттенемін. Енді мен сізге дем алуға мүмкіндік беремін, ал келесі жолы қажетсіз кіріспе сөздерсіз немесе дайындықсыз файлсыз зиянды бағдарламаны пайдаланатын шабуылдардың нақты мысалдарын қарастырамыз.
Ақпарат көзі: www.habr.com