Hic articulus ad seriem Malware Fileless pertinet. Omnes aliae partes seriei;
- Adventus Malware, Pars II: Occultus VBA Scriptorum (hic sumus)
Im 'a fan de situ (analysis hybrida, infra HA). Tesserae malware est genus ubi tuto animadvertere ex tuto sine oppugnatione ferarum "predatores" esse. HA malware in ambitus securos decurrit, systema vocat records, lima et negotiatio interretialem creavit, et tibi omnes hos eventus pro singulis specimen analysibus dat. Hoc modo tempus tuum et industriam tuam perdere conatur ut te ipsum codicem confundentem videris, sed statim omnes intentiones hackers intelligere potes.
Exempla HA, quae operam meam comprehenderunt vel JavaScript vel Visual Basic pro Applicationibus (VBA) scriptis infixi sunt ut macros in Verbo vel Excel documentis et hamatae inscriptionibus addicti. Cum apertae sunt, hae macroni initium habent sessionis PowerShell in computatrum victimae. Hacker typice misit ad Base64 encoded torrentium mandatorum ad PowerShell. Hoc totum factum est ut impetus difficilis deprehendatur per filtra interretiales et antivirus programmatis quae certis indiciis respondent.
Feliciter HA automatice Base64 decidit et omnia in forma lectibili statim ostendit. Essentialiter, quomodo scripta haec operantur, non habes intendere, quia plenum mandatum output videre poteris pro processibus currentibus in sectione respondente HA. Vide infra exemplum:
Analysis Hybrid intercipit Base64 encoded mandata ad PowerShell missa:
...et decodes eas tibi. #magically
Π Ego meum proprium modice obfuscata JavaScript continens ad currendum in sessione PowerShell creavi. My script, like many PowerShell-based malware, then downloads the following PowerShell script from a remote website. Deinde, in exemplum, PS innocens, qui nuntium in screen impressit, oneravit. Sed mutantur tempora, et nunc inpediunt missionem propono.
PowerShell Imperii et Reverse Testa
Una e proposita huius exercitationis est ostendere quomodo facile piratica defensiones et antiviruses perimetri classicas praeterire possit. Si in IT blogger sine programmatione ductus, sicut me facere potest in duobus vesperis (FUD plene inobservata), finge capacitates iuvenum piratarum in hoc studioso!
Et si tu es provisor securitatis IT, sed procurator tuus non scit de possibilibus harum minis consequentibus, modo ei hoc articulum ostende.
Hackers somniant se directum aditum ad laptop victimae vel servo. Hoc est valde simplex facere: omnia piratica facere necesse est paucas tabellas secretiores de laptop CEO acquirere.
Nescio quomodo iam about the PowerShell Empire post-production runtime. Quid sit meminerimus.
Essentialiter a PowerShell-substructio subtilitatis instrumenti probandi, quod, inter multa alia, permittit ut testam adversam facile detegere possit. Studere potes in planius ad .
Experimentum parum faciamus. Securam malware erexi experimentum environment in interretialibus interretialibus nubem. Potes exemplum meum sequi ut cito et tuto exemplum vulnerabilitatis huius laborantis ostendas (nec accensus ad virus currens intra inceptum perimetrum).
Si potestatem PowerShell Imperii deduxeris, aliquid simile hoc videbis;
Primum audientis processum in computatrum tuum piraticum committitur. Ingredere imperium "auditoris", et exprime IP oratio systematis vestri utens "Hostes posuit". Tunc auditoris processum committitur cum mandato "exsequi" (infra). Sic ex parte tua incipies exspectans nexum retis a testa remota;
Pro altera parte, codicem agentis generare debes per mandatum "launcher" intrando (vide infra). Hoc signum PowerShell generabit pro agente remoto. Nota quod in Base64 exaratum est, et secunda pars payload significat. Aliis verbis, meus JavaScript codicem nunc hoc agente trahere vult ut PowerShell currat loco innoculy imprimendi textum ad velum, et coniunge nostro remoto PSE servo ad currendam adversam testam.
Magica e contrario putamen. Hoc imperium Coded PowerShell auditori meo coniunget et testam remotam deducet.
Hoc experimentum tibi ostenderem, innocentis victimae partes suscepi et Evil.doc aperui, inde JavaScript nostros deducendo. Memento primae partis? Configuratus est PowerShell ne fenestram suam a papaver, sic victima nihil insolitum notabit. Autem, si Fenestra Negotium Procurator aperis, videbis globum PowerShell processum qui plerorumque hominum usquam terrorem non movebit. Quia iustus regularis PowerShell annon?
Nunc cum Evil.doc curris, processus background occultus coniunget cum servo Imperii PowerShell currenti. Pentester piratam albam induens, ad Imperium PowerShell redii consolandum et nunc nuntium video quod agens remotum meum agit.
Tunc mandatum "interact" intravi ut testam aperirem in PSE - et ibi fui! In summa, servo Taco detruncavi quod me semel constitui.
Quod modo demonstravi non requirit multum operis ex parte tua. Haec omnia facillime potes in tua prandii intermissione pro una vel duabus horis ad cognitionem securitatis notitiae tuae meliorem. Etiam magna via est intellegere quomodo hackers praetereunt tuam securitatem externam perimetri et intra systemata tua acquirent.
IT actores qui putant impenetrabilem defensionem contra quamlibet irruptionem construxisse, eam scholasticam fortasse etiam reperient, id est, si tibi persuadere possis satis diu sedere.
Lets 'adepto ad rem
Sicut expectavi, realis hack, invisibilis ad medium usoris, simpliciter est variatio eorum quae modo diximus. Materiam ad proximam editionem colligendam, exemplum in HA, quod eodem modo operatur sicut exemplum inventum, quaesivi. Et non diu eam quaerere - multae sunt optiones simili impetu technicae in situ.
Malware me tandem in HA inveni scriptum erat VBA quod in documento Verbi inhaerebat. Hoc est, nec opus est fictu extensio doc, hoc malware vere normale spectaculum Microsoft Word documenti est. Si vos es interested, elegi hoc specimen vocavit .
Cito didici te saepe malitiosam VBA scripta e documento non posse directe trahere. Hackers comprimunt et occultant ut non visi sint in instrumentis instrumentis Verbi constructo in tortor. Peculiari instrumento opus est ad illud removendum. Feliciter veni per scanner Francus Balduini. Gratias tibi, Frank.
Hoc instrumento utens, e codice VBA valde obfuscato eruere potui. Visum est aliquid simile hoc;
Obfuscatio facta est a professionalibus in agro suo. Imprimebatur!
Impugnatores in codice obfuscando vere boni sunt, non sicut conatus meus in creando Evil.doc. Bene, in altera parte VBA debuggers nostros tollemus, paulo altius in hunc codicem infigemus et nostram analysin cum HA proventu comparabimus.
Source: www.habr.com