Бул макала менен биз кармалбаган кесепеттүү программалар жөнүндө бир катар басылмаларды баштайбыз. Файлсыз хакерлик программалары, ошондой эле файлсыз хакерлик программалары катары белгилүү, адатта Windows тутумдарында PowerShell'ди колдонуп, баалуу мазмунду издөө жана чыгаруу үчүн буйруктарды унчукпай иштетүү үчүн колдонушат. Зыяндуу файлдарсыз хакерлердин аракетин аныктоо кыйын иш, анткени... антивирустар жана башка көптөгөн аныктоо системалары кол анализинин негизинде иштейт. Бирок жакшы жаңылык, мындай программалык камсыздоо бар. Мисалы,
Мен биринчи жолу жаман хакерлер темасын изилдей баштаганда,
Улуу жана күчтүү PowerShell
Мен бул идеялардын кээ бирлери жөнүндө мурун жазган элем
Үлгүлөрдөн тышкары, сайттан бул программалар эмне кыларын көрө аласыз. Гибриддик анализ кесепеттүү программаны өзүнүн кумдук чөйрөсүндө иштетет жана системалык чалууларды, иштеп жаткан процесстерди жана тармактын активдүүлүгүн көзөмөлдөйт жана шектүү текст саптарын чыгарып алат. бинардык жана башка аткарылуучу файлдар үчүн, б.а. жогорку деңгээлдеги чыныгы кодду карай албай турган болсоңуз, гибриддик талдоо программалык камсыздоонун зыяндуу же жөн эле шектүү экендигин анын иштөө убактысынын негизинде чечет. Ошондон кийин үлгү буга чейин бааланат.
PowerShell жана башка үлгү скрипттерде (Visual Basic, JavaScript ж.б.) мен коддун өзүн көрө алдым. Мисалы, мен бул PowerShell мисалына туш келдим:
Аныктоодон качуу үчүн PowerShellди base64 коддоосунда да иштетсеңиз болот. Интерактивдүү эмес жана Жашыруун параметрлерди колдонууга көңүл буруңуз.
Эгер сиз менин билдирүүлөрүмдү бүдөмүк кылуу боюнча окуган болсоңуз, анда -e параметри мазмундун base64 коддолгондугун аныктаарын билесиз. Айтмакчы, гибриддик талдоо да бардыгын кайра чечмелөө менен жардам берет. Эгер сиз base64 PowerShellди (мындан ары PS деп аталат) чечмелеп көргүңүз келсе, бул буйрукту аткарышыңыз керек:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Тереңирээк
Мен PS скриптибизди ушул ыкма менен чечтим, төмөндө мен бир аз өзгөрткөн болсом да, программанын тексти келтирилген:
Сценарий 4-жылдын 2017-сентябрына байланганын жана сеанс кукилерин жибергенин эске алыңыз.
Мен чабуулдун бул стили жөнүндө жазгам
ал эмне кылат?
Windows окуялар журналдарын же брандмауэрлерин сканерлөөчү коопсуздук программасы үчүн base64 коддоосу "WebClient" саптын мындай веб-суроолорду жасоодон коргоо үчүн жөнөкөй текст үлгүсү менен табылышына жол бербейт. Жана кесепеттүү программанын бардык "жамандыгы" жүктөлүп алынып, биздин PowerShellге өтүп кеткендиктен, бул ыкма ошентип, аныктоодон толугу менен качууга мүмкүндүк берет. Тагыраагы, мен башында ушундай ойлогом.
Көрсө, Windows PowerShell Advanced Logging иштетилгенде (менин макаламды караңыз), окуялар журналында жүктөлгөн линияны көрө аласыз. мен окшошмун
Кошумча сценарийлерди кошолу
Хакерлер Visual Basic жана башка скрипт тилдеринде жазылган Microsoft Office макросторунда PowerShell чабуулдарын акылмандык менен жашырышат. Идея, жабырлануучу кабарды, мисалы, жеткирүү кызматынан, .doc форматындагы тиркелген отчет менен алат. Сиз макросту камтыган бул документти ачасыз жана ал зыяндуу PowerShellдин өзүн ишке киргизет.
Көбүнчө Visual Basic скриптинин өзү антивирустан жана башка кесепеттүү программалык сканерлерден ээн-эркин качышы үчүн бүдөмүк болот. Жогоруда айтылгандардын рухуна ылайык, мен көнүгүү катары жогорудагы PowerShellди JavaScript менен коддоону чечтим. Төмөндө менин ишимдин натыйжалары:
PowerShellибизди жашырган бүдөмүк JavaScript. Чыныгы хакерлер муну бир же эки жолу жасашат.
Бул мен интернетте калкып жүргөндү көргөн дагы бир ыкма: коддолгон PowerShellди иштетүү үчүн Wscript.Shell колдонуу. Айтмакчы, JavaScript өзү
Биздин учурда, зыяндуу JS скрипти .doc.js кеңейтүүсү менен файл катары камтылган. Windows адатта биринчи суффиксти гана көрсөтөт, ошондуктан ал жабырлануучуга Word документи катары көрүнөт.
JS сөлөкөтү жылдыруу сөлөкөтүндө гана пайда болот. Көптөр бул тиркемени Word документи деп ойлоп ачышы таң калыштуу эмес.
Менин мисалымда, мен скриптти веб-сайтымдан жүктөп алуу үчүн жогорудагы PowerShellди өзгөрткөм. Алыскы PS скрипти жөн гана "Evil Zararlı программаны" басып чыгарат. Көрүнүп тургандай, ал эч кандай жаман эмес. Албетте, чыныгы хакерлер ноутбукка же серверге, айталы, командалык кабык аркылуу кирүүгө кызыкдар. Кийинки макалада мен PowerShell Empire аркылуу муну кантип жасоону көрсөтөм.
Биринчи кириш макала үчүн биз темага өтө терең кирип кеткен жокпуз деп үмүттөнөм. Эми мен сизге дем алууга уруксат берем жана кийинки жолу биз эч кандай кереги жок кириш сөзсүз же даярдыксыз файлсыз кесепеттүү программаны колдонуу менен чабуулдардын реалдуу мисалдарын карап баштайбыз.
Source: www.habr.com