Осы мақаламен біз ұсталмайтын зиянды бағдарлама туралы жарияланымдар сериясын бастаймыз. Файлсыз бұзу бағдарламалары, сондай-ақ файлсыз бұзу бағдарламалары ретінде белгілі, әдетте құнды мазмұнды іздеу және шығару үшін пәрмендерді дыбыссыз іске қосу үшін Windows жүйелерінде PowerShell бағдарламасын пайдаланады. Зиянды файлдарсыз хакерлер әрекетін анықтау қиын міндет, себебі... антивирустар және көптеген басқа анықтау жүйелері қолтаңбаны талдау негізінде жұмыс істейді. Бірақ жақсы жаңалық - мұндай бағдарламалық жасақтама бар. Мысалы, , файлдық жүйелердегі зиянды әрекетті анықтауға қабілетті.
Мен алғаш рет жаман хакерлер тақырыбын зерттей бастағанда, , бірақ жәбірленушінің компьютерінде қол жетімді құралдар мен бағдарламалық қамтамасыз ету ғана, мен бұл жақында шабуылдың танымал әдісіне айналады деп ойламадым. Қауіпсіздік мамандары бұл трендке айналып бара жатқанын және - мұны растау. Сондықтан мен осы тақырыпта бірқатар жарияланымдар жасауды жөн көрдім.
Үлкен және қуатты PowerShell
Мен бұл идеялардың кейбірі туралы бұрын жазғанмын , бірақ көбірек теориялық тұжырымдамаға негізделген. Кейін кездестім , онда сіз жабайы табиғатта «ұсталған» зиянды бағдарлама үлгілерін таба аласыз. Мен файлсыз зиянды бағдарлама үлгілерін табу үшін осы сайтты пайдаланып көруді шештім. Мен жетістікке жеттім. Айтпақшы, егер сіз өзіңіздің зиянды бағдарламаларды іздеу экспедициясына шыққыңыз келсе, сіз бұл сайтта ақ қалпақ маманы ретінде жұмыс істеп жатқаныңызды білу үшін растауыңыз керек. Қауіпсіздік блогері ретінде мен оны сұрақсыз тапсырдым. Сенің де қолыңнан келетініне сенімдімін.
Үлгілерден басқа сайтта сіз бұл бағдарламалардың не істейтінін көре аласыз. Гибридтік талдау зиянды бағдарламаны өзінің жеке құм жәшігінде іске қосады және жүйелік қоңырауларды, іске қосылған процестерді және желі әрекетін бақылайды және күдікті мәтін жолдарын шығарады. Екілік және басқа орындалатын файлдар үшін, яғни. нақты жоғары деңгейлі кодты қарау мүмкін болмаса, гибридті талдау бағдарламалық жасақтаманың зиянды немесе жай ғана күдікті екенін оның орындалу уақытындағы белсенділігіне қарай шешеді. Осыдан кейін үлгі бағаланады.
PowerShell және басқа үлгі сценарийлері (Visual Basic, JavaScript және т.б.) жағдайында мен кодтың өзін көре алдым. Мысалы, мен осы PowerShell данасын кездестірдім:
Анықтауды болдырмау үшін PowerShell-ті base64 кодтауында іске қосуға болады. Интерактивті емес және Жасырын параметрлерді пайдалануды ескеріңіз.
Егер сіз түсініксіздеу туралы жазбаларымды оқыған болсаңыз, онда -e опциясы мазмұнның base64 кодталғанын көрсететінін білесіз. Айтпақшы, гибридті талдау бәрін кері декодтау арқылы да көмектеседі. base64 PowerShell (бұдан әрі - PS) кодты өзіңіз шешіп көргіңіз келсе, мына пәрменді орындауыңыз керек:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Тереңірек барыңыз
Мен осы әдіс арқылы PS сценарийін декодтадым, төменде мен сәл өзгерткен бағдарламаның мәтіні берілген:
Сценарий 4 жылдың 2017 қыркүйегіндегі күнге байланыстырылғанын және сеанс cookie файлдарын жібергенін ескеріңіз.
Мен шабуылдың бұл стилі туралы жаздым , онда base64 кодталған сценарийдің өзі жүктейді жоқ ауыр көтеруді орындау үшін .Net Framework кітапханасының WebClient нысанын пайдаланып, басқа сайттан зиянды бағдарлама.
ол не істеу керек?
Windows оқиғалар журналдарын немесе брандмауэрлерді сканерлеуге арналған қауіпсіздік бағдарламалық құралы үшін base64 кодтауы осындай веб-сұраныс жасаудан қорғау үшін қарапайым мәтін үлгісі арқылы «WebClient» жолын анықтауға жол бермейді. Зиянды бағдарламаның барлық «зұлымдықтары» жүктеліп, біздің PowerShell-ге жіберілетіндіктен, бұл тәсіл бізге анықтаудан толығымен құтылуға мүмкіндік береді. Дәлірек айтқанда, мен басында солай ойладым.
Windows PowerShell Advanced Logging қосылған кезде (менің мақаламды қараңыз) оқиғалар журналында жүктелген жолды көре аласыз. сияқтымын ) Менің ойымша, Microsoft журналға тіркеудің осы деңгейін әдепкі бойынша қосуы керек. Сондықтан, кеңейтілген тіркеу қосылған кезде, біз Windows оқиғалар журналында жоғарыда талқылаған мысалға сәйкес PS сценарийінен аяқталған жүктеп алу сұрауын көреміз. Сондықтан оны белсендіру мағынасы бар, келісесіз бе?
Қосымша сценарийлерді қосамыз
Хакерлер Visual Basic және басқа сценарий тілдерінде жазылған Microsoft Office макростарындағы PowerShell шабуылдарын ақылмен жасырады. Идеясы жәбірленуші хабарды, мысалы, жеткізу қызметінен, .doc пішіміндегі қоса берілген есеппен алады. Сіз макросты қамтитын осы құжатты ашасыз және ол зиянды PowerShell бағдарламасын іске қосады.
Көбінесе Visual Basic сценарийінің өзі антивирустан және басқа зиянды бағдарлама сканерлерінен еркін айналып өту үшін бұлыңғыр болады. Жоғарыда айтылғандардың рухында мен жаттығу ретінде жоғарыдағы PowerShell бағдарламасын JavaScript-те кодтауды шештім. Төменде менің жұмысымның нәтижелері берілген:
Біздің PowerShell-ті жасыратын түсініксіз JavaScript. Нағыз хакерлер мұны бір немесе екі рет жасайды.
Бұл интернетте қалқып жүрген мен көрген тағы бір әдіс: кодталған PowerShell іске қосу үшін Wscript.Shell пайдалану. Айтпақшы, JavaScript өзі зиянды бағдарламаны жеткізу. Windows жүйесінің көптеген нұсқаларында кірістірілген , ол өзі JS іске қоса алады.
Біздің жағдайда зиянды JS сценарийі .doc.js кеңейтімі бар файл ретінде ендірілген. Windows әдетте бірінші жұрнақты ғана көрсетеді, сондықтан ол жәбірленушіге Word құжаты ретінде көрінеді.
JS белгішесі тек айналдыру белгішесінде пайда болады. Көптеген адамдар бұл қосымшаны Word құжаты деп ойлап ашуы ғажап емес.
Менің мысалда мен веб-сайтымнан сценарийді жүктеп алу үшін жоғарыдағы PowerShell бағдарламасын өзгерттім. Қашықтағы PS сценарийі «Зұлымдық зиянды бағдарламаны» басып шығарады. Көріп отырғаныңыздай, ол мүлдем зұлым емес. Әрине, нағыз хакерлер ноутбукке немесе серверге, айталық, командалық қабық арқылы қол жеткізуге мүдделі. Келесі мақалада мен мұны PowerShell Empire көмегімен қалай жасау керектігін көрсетемін.
Бірінші кіріспе мақалада біз тақырыпқа терең бойламадық деп үміттенемін. Енді мен сізге дем алуға мүмкіндік беремін, ал келесі жолы қажетсіз кіріспе сөздерсіз немесе дайындықсыз файлсыз зиянды бағдарламаны пайдаланатын шабуылдардың нақты мысалдарын қарастырамыз.
Ақпарат көзі: www.habr.com