Mat dësem Artikel fänken mir eng Serie vu Publikatiounen iwwer elusiv Malware un. Fileless Hacking Programmer, och bekannt als fileless Hacking Programmer, benotzen normalerweis PowerShell op Windows Systemer fir roueg Kommandoen auszeféieren fir wäertvoll Inhalter ze sichen an ze extrahieren. Hackeraktivitéit z'entdecken ouni béiswëlleg Dateien ass eng schwiereg Aufgab, well ... Antivirusen a vill aner Detektiounssystemer funktionnéieren op Basis vun der Ënnerschrëftanalyse. Awer déi gutt Noriicht ass datt esou Software existéiert. Zum Beispill, , kapabel béiswëlleg Aktivitéit an Dateiesystemer z'entdecken.
Wéi ech fir d'éischt ugefaang hunn d'Thema vu Badass Hacker ze fuerschen, , awer nëmmen d'Tools an d'Software, déi um Computer vum Affer verfügbar sinn, hat ech keng Ahnung datt dëst geschwënn eng populär Method fir Attacke gëtt. Sécherheet Professionnelen datt dëst en Trend gëtt, an - Bestätegung vun dëser. Dofir hunn ech beschloss eng Serie vu Publikatiounen zu dësem Thema ze maachen.
Déi grouss a mächteg PowerShell
Ech hunn iwwer e puer vun dësen Iddien geschriwwen ier am , awer méi baséiert op engem theoreteschen Konzept. Méi spéit koum ech op , wou Dir Beispiller vu Malware "fänke" an der Wild fannt. Ech hu beschloss dëse Site ze benotzen fir Proben vu fileless Malware ze fannen. An ech hunn et gelongen. Iwwregens, wann Dir wëllt op Är eege Malware Juegd Expeditioun goen, musst Dir vun dësem Site verifizéiert ginn fir datt se wëssen datt Dir d'Aarbecht als White Hat Spezialist maacht. Als Blogger deen iwwer Sécherheet schreift, hunn ech et ouni Fro passéiert. Ech sécher Dir kënnt och.
Zousätzlech zu den Echantillon selwer, op der Säit kënnt Dir gesinn wat dës Programmer maachen. Hybrid Analyse leeft Malware a senger eegener Sandkëscht a iwwerwaacht Systemruffen, Lafprozesser an Netzwierkaktivitéit, an extrahéiert verdächteg Textstringen. Fir Binären an aner ausführbar Dateien, d.h. wou Dir net emol den aktuellen High-Level Code kucke kënnt, entscheet Hybridanalyse ob d'Software béiswëlleg ass oder just verdächteg baséiert op senger Runtime Aktivitéit. An duerno ass d'Probe scho bewäert.
Am Fall vun PowerShell an aner Probe Scripten (Visual Basic, JavaScript, etc.), Ech konnt de Code selwer gesinn. Zum Beispill sinn ech op dës PowerShell Instanz komm:
Dir kënnt och PowerShell am base64 Kodéierung lafen fir Detektioun ze vermeiden. Notéiert d'Benotzung vun Noninteractive a Hidden Parameteren.
Wann Dir meng Posts iwwer Obfuscatioun gelies hutt, da wësst Dir datt d'-e Optioun spezifizéiert datt den Inhalt base64 kodéiert ass. Iwwregens, Hybrid Analyse hëlleft och domatter andeems se alles zréck decodéieren. Wann Dir wëllt probéieren de Base64 PowerShell (nodréiglech als PS bezeechent) selwer ze decodéieren, musst Dir dëse Kommando ausféieren:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Gitt méi déif
Ech hunn eise PS Skript mat dëser Method dekodéiert, hei drënner ass den Text vum Programm, awer liicht geännert vu mir:
Bedenkt datt de Skript un den Datum 4. September 2017 gebonne war a Sessiouns-Cookien iwwerdroen huet.
Ech geschriwwen iwwer dëse Stil vun Attack an , an deem de base64 kodéierte Skript selwer lued vermësst Malware vun enger anerer Säit, mat der .Net Framework-Bibliothéik's WebClient-Objet fir déi schwéier Ophiewe ze maachen.
Wat heescht et maachen?
Fir Sécherheetssoftware déi Windows Event Logbicher oder Firewalls scannt, verhënnert d'Base64 Kodéierung datt d'String "WebClient" vun engem einfachen Textmuster erkannt gëtt fir géint esou eng Webufro ze schützen. A well all dat "Béist" vun der Malware dann erofgelueden an an eis PowerShell passéiert ass, erlaabt dës Approche eis also d'Erkennung komplett z'evitéieren. Oder éischter, dat hat ech am Ufank geduecht.
Et stellt sech eraus datt mat Windows PowerShell Advanced Logging aktivéiert (kuckt mäin Artikel), kënnt Dir déi geluede Linn am Event Log gesinn. Ech sinn wéi ) Ech mengen Microsoft soll dëse Niveau vum Logbuch als Standard aktivéieren. Dofir, mat erweiderten Logging aktivéiert, wäerte mir am Windows Event Log eng ofgeschloss Download-Ufro vun engem PS Skript no dem Beispill gesinn, dee mir hei uewen diskutéiert hunn. Dofir mécht et Sënn et ze aktivéieren, sidd Dir net averstanen?
Loosst eis zousätzlech Szenarie addéieren
Hacker verstoppen clever PowerShell Attacken a Microsoft Office Makroen, déi a Visual Basic an aner Skriptsproochen geschriwwe sinn. D'Iddi ass datt d'Affer e Message kritt, zum Beispill vun engem Liwwerdéngscht, mat engem Rapport am .doc-Format. Dir öffnet dëst Dokument dat de Makro enthält, an et schlussendlech de béisaarteg PowerShell selwer lancéiert.
Dacks ass de Visual Basic Skript selwer verstoppt, sou datt et fräi Antivirus an aner Malware Scanner evitéiert. Am Geescht vun deem wat scho gesot gouf, hunn ech beschloss déi uewe genannte PowerShell am JavaScript als Übung ze codéieren. Drënner sinn d'Resultater vu menger Aarbecht:
Verstoppt JavaScript verstoppt eis PowerShell. Real Hacker maachen dëst eemol oder zweemol.
Dëst ass eng aner Technik déi ech ronderëm de Web gesinn schwammen: Wscript.Shell benotze fir kodéiert PowerShell ze lafen. Iwwregens, JavaScript selwer ass Liwwerung vu Malware. Vill Versioune vu Windows hunn agebaut , déi selwer kann JS lafen.
An eisem Fall ass de béisaarteg JS Skript als Datei mat der .doc.js Extensioun agebonnen. Windows wäert normalerweis nëmmen den éischte Suffix weisen, sou datt et dem Affer als Word-Dokument erschéngt.
D'JS Ikon erschéngt nëmmen an der Scroll Ikon. Et ass net iwwerraschend datt vill Leit dësen Uschloss opmaachen an denken datt et e Word Dokument ass.
A mengem Beispill hunn ech de PowerShell uewen geännert fir de Skript vu menger Websäit erofzelueden. De Remote PS Skript dréckt just "Evil Malware". Wéi Dir gesitt, ass hien guer net béis. Natierlech sinn echt Hacker interesséiert fir Zougang zu engem Laptop oder Server ze kréien, sot, duerch eng Kommandoshell. Am nächsten Artikel weisen ech Iech wéi Dir dëst maacht mat PowerShell Empire.
Ech hoffen, datt mir fir den éischten Aféierungsartikel net ze déif an d'Thema gedaucht hunn. Elo loossen ech Iech en Otem huelen, an d'nächst Kéier fänken mir un richteg Beispiller vun Attacken ze kucken déi fileless Malware benotzen ouni onnéideg Aféierungswierder oder Virbereedung.
Source: will.com