Cum hoc articulo incipimus seriem publicationum circa malware fallaces. Infetiles programmata caesim, etiam programmata inletae caesim notae, PowerShell in Fenestra systemata typice utuntur ut mandata tacite currant ad quaerendum et extrahendum pretiosum contentum. Deprehensio Piratica actio sine malignis fasciculis est difficile opus, quia... antiviruses et multa alia systemata detectio in analysi signature subnixa laborant. Sed luctus talis est ut evangelium existat. Exempli gratia
Cum primum coepi investigare thema de badass hackers,
Magnus ac potens PowerShell
De aliquibus ideis horum scripsi ante in
Praeter exempla ipsa, quid horum programmata facere potes videre. Analysis Hybrid decurrit malware in sua sandbox et monitores systematis vocat, processus currit et actio retis, et chordas textus suspectos extrahit. Pro binariis et aliis executoribus, i.e. ubi ne videre quidem potes in re publica summam codicis, analysis hybrida decernit utrum programmata malitiosa sit an suspiciosa in actu runtime fundata. Et post hoc iam specimen prae- bendum est.
In PowerShell et aliis scriptoribus specimen (Visual Basic, JavaScript, etc.), codicem ipsum videre potui. Exempli gratia per hanc instantiam PowerShell venio:
Potes etiam PowerShell in basi descriptam ad vitare detectionem currere. Nota usum parametri noninteractivi et occulti.
Si epistulas meas de obfuscatione legeris, tunc scias optionem -e specificare contentum esse base64 encoded. Viam analysis hybridarum etiam huic adiuvat per decoctionem omnia retro. Si vis tentare decoding base64 PowerShell (infra postea ad PS) ipsum, currere debes hoc mandatum:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Ire altius
Scriptum nostrum PS hac methodo utens, infra est textus programmatis, a me tamen leviter immutatus;
Nota scripturam ligatam ad diem 4 Septembris 2017 et crustula sessionis transmissa.
Scripsi de hoc genere oppugnationis
Quid faciam?
Pro securitate programmatio fenestrarum eventuum lignorum vel fire murorum intuens, base64 descriptam vetat chorda "WebClient" ne deprehendatur per exemplarem textum planum defendendi contra talem petitionem interretialem faciendam. Et quoniam omne malum malware tunc in nostrum PowerShell deponitur et transigitur, aditus ita nobis permittit ut omnino deprehensionem evadamus. Vel potius id quod primo cogitabam.
Evenit ut cum Windows PowerShell Logging enabled Advanced (vide articulum meum), lineam onustam videre poteris in eventu log. similis sum
Addamus additional missionibus
Hackers callide occultant PowerShell impetus in Microsoft Officii macros scriptos in Visual Basic aliisque linguis scripturis. Idea est victima nuntium accepisse, exempli gratia ex servitio traditionis, cum adiunctis relationibus in forma .doc. Hoc documentum aperis quod tortor continet, et in malignum PowerShell desinit immittendi ipsum.
Saepe ipsum scriptum Visual Basic obfuscatur ita ut antivirum et alios scannatores malware libere evadat. In spiritu supra, supra constitui codicem PowerShell in JavaScript exercitatio. Infra sunt eventus operis mei:
Obfuscata JavaScript latebat nostra PowerShell. Verus hacker semel aut bis hoc faciunt.
Haec est alia ars circum inter telam volitare vidi: usus Wscript.Shell ad currere coded PowerShell. Viam JavaScript ipsa est
In nostro casu, malitiosorum scriptorium JS infixa est ut fasciculus cum .doc.js extensione. Fenestra typice tantum primum suffixo ostendet, ut victimae tamquam documentum Verbi apparebit.
In icon JS solum apparet in icone libri. Mirum non est quod multi hanc affectionem aperiant cogitationis documentum Verbi.
In meo exemplo, PowerShell supra modificavi ut scripturam meam a website prehenderem. Remota PS script iustus procer "Malum Malware". Ut vides, malus non est. Scilicet, reales hackers sunt interested in accessu ad laptop vel servo, dicunt per testam mandatum. In sequenti articulo, ostendam tibi quomodo hoc facere utens Imperio PowerShell.
Spero nos in primum articulum introductorium non nimis alte intendere in rem. Nunc ego te respirare incipiam, et post tempus inspiciemus vera exempla oppugnationum usui malware sine ullis verbis introductoriis aut praeparatione supervacaneis.
Source: www.habr.com