Mat dësem Artikel fänken mir eng Serie vu Publikatiounen iwwer elusiv Malware un. Fileless Hacking Programmer, och bekannt als fileless Hacking Programmer, benotzen normalerweis PowerShell op Windows Systemer fir roueg Kommandoen auszeféieren fir wäertvoll Inhalter ze sichen an ze extrahieren. Hackeraktivitéit z'entdecken ouni béiswëlleg Dateien ass eng schwiereg Aufgab, well ... Antivirusen a vill aner Detektiounssystemer funktionnéieren op Basis vun der Ënnerschrëftanalyse. Awer déi gutt Noriicht ass datt esou Software existéiert. Zum Beispill,
Wéi ech fir d'éischt ugefaang hunn d'Thema vu Badass Hacker ze fuerschen,
Déi grouss a mächteg PowerShell
Ech hunn iwwer e puer vun dësen Iddien geschriwwen ier am
Zousätzlech zu den Echantillon selwer, op der Säit kënnt Dir gesinn wat dës Programmer maachen. Hybrid Analyse leeft Malware a senger eegener Sandkëscht a iwwerwaacht Systemruffen, Lafprozesser an Netzwierkaktivitéit, an extrahéiert verdächteg Textstringen. Fir Binären an aner ausführbar Dateien, d.h. wou Dir net emol den aktuellen High-Level Code kucke kënnt, entscheet Hybridanalyse ob d'Software béiswëlleg ass oder just verdächteg baséiert op senger Runtime Aktivitéit. An duerno ass d'Probe scho bewäert.
Am Fall vun PowerShell an aner Probe Scripten (Visual Basic, JavaScript, etc.), Ech konnt de Code selwer gesinn. Zum Beispill sinn ech op dës PowerShell Instanz komm:
Dir kënnt och PowerShell am base64 Kodéierung lafen fir Detektioun ze vermeiden. Notéiert d'Benotzung vun Noninteractive a Hidden Parameteren.
Wann Dir meng Posts iwwer Obfuscatioun gelies hutt, da wësst Dir datt d'-e Optioun spezifizéiert datt den Inhalt base64 kodéiert ass. Iwwregens, Hybrid Analyse hëlleft och domatter andeems se alles zréck decodéieren. Wann Dir wëllt probéieren de Base64 PowerShell (nodréiglech als PS bezeechent) selwer ze decodéieren, musst Dir dëse Kommando ausféieren:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Gitt méi déif
Ech hunn eise PS Skript mat dëser Method dekodéiert, hei drënner ass den Text vum Programm, awer liicht geännert vu mir:
Bedenkt datt de Skript un den Datum 4. September 2017 gebonne war a Sessiouns-Cookien iwwerdroen huet.
Ech geschriwwen iwwer dëse Stil vun Attack an
Wat heescht et maachen?
Fir Sécherheetssoftware déi Windows Event Logbicher oder Firewalls scannt, verhënnert d'Base64 Kodéierung datt d'String "WebClient" vun engem einfachen Textmuster erkannt gëtt fir géint esou eng Webufro ze schützen. A well all dat "Béist" vun der Malware dann erofgelueden an an eis PowerShell passéiert ass, erlaabt dës Approche eis also d'Erkennung komplett z'evitéieren. Oder éischter, dat hat ech am Ufank geduecht.
Et stellt sech eraus datt mat Windows PowerShell Advanced Logging aktivéiert (kuckt mäin Artikel), kënnt Dir déi geluede Linn am Event Log gesinn. Ech sinn wéi
Loosst eis zousätzlech Szenarie addéieren
Hacker verstoppen clever PowerShell Attacken a Microsoft Office Makroen, déi a Visual Basic an aner Skriptsproochen geschriwwe sinn. D'Iddi ass datt d'Affer e Message kritt, zum Beispill vun engem Liwwerdéngscht, mat engem Rapport am .doc-Format. Dir öffnet dëst Dokument dat de Makro enthält, an et schlussendlech de béisaarteg PowerShell selwer lancéiert.
Dacks ass de Visual Basic Skript selwer verstoppt, sou datt et fräi Antivirus an aner Malware Scanner evitéiert. Am Geescht vun deem wat scho gesot gouf, hunn ech beschloss déi uewe genannte PowerShell am JavaScript als Übung ze codéieren. Drënner sinn d'Resultater vu menger Aarbecht:
Verstoppt JavaScript verstoppt eis PowerShell. Real Hacker maachen dëst eemol oder zweemol.
Dëst ass eng aner Technik déi ech ronderëm de Web gesinn schwammen: Wscript.Shell benotze fir kodéiert PowerShell ze lafen. Iwwregens, JavaScript selwer ass
An eisem Fall ass de béisaarteg JS Skript als Datei mat der .doc.js Extensioun agebonnen. Windows wäert normalerweis nëmmen den éischte Suffix weisen, sou datt et dem Affer als Word-Dokument erschéngt.
D'JS Ikon erschéngt nëmmen an der Scroll Ikon. Et ass net iwwerraschend datt vill Leit dësen Uschloss opmaachen an denken datt et e Word Dokument ass.
A mengem Beispill hunn ech de PowerShell uewen geännert fir de Skript vu menger Websäit erofzelueden. De Remote PS Skript dréckt just "Evil Malware". Wéi Dir gesitt, ass hien guer net béis. Natierlech sinn echt Hacker interesséiert fir Zougang zu engem Laptop oder Server ze kréien, sot, duerch eng Kommandoshell. Am nächsten Artikel weisen ech Iech wéi Dir dëst maacht mat PowerShell Empire.
Ech hoffen, datt mir fir den éischten Aféierungsartikel net ze déif an d'Thema gedaucht hunn. Elo loossen ech Iech en Otem huelen, an d'nächst Kéier fänken mir un richteg Beispiller vun Attacken ze kucken déi fileless Malware benotzen ouni onnéideg Aféierungswierder oder Virbereedung.
Source: will.com