ProHoster > ะ‘ะปะพะณ > เบเบฒเบ™เบšเปเบฅเบดเบซเบฒเบ™ > เบเบฒเบ™เบœเบฐเบˆเบปเบ™เป„เบžเบ‚เบญเบ‡ Malware Elusive, เบžเบฒเบเบ—เบต I

เบเบฒเบ™เบœเบฐเบˆเบปเบ™เป„เบžเบ‚เบญเบ‡ Malware Elusive, เบžเบฒเบเบ—เบต I

เบเบฒเบ™เบœเบฐเบˆเบปเบ™เป„เบžเบ‚เบญเบ‡ Malware Elusive, เบžเบฒเบเบ—เบต I

เบ”เป‰เบงเบเบšเบปเบ”เบ„เบงเบฒเบกเบ™เบตเป‰, เบžเบงเบเป€เบฎเบปเบฒเป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™เบเบฒเบ™เบžเบดเบกเป€เบœเบตเบเปเบœเปˆเบเปˆเบฝเบงเบเบฑเบš malware เบ—เบตเปˆเป€เบ‚เบปเป‰เบฒเปƒเบˆเบเบฒเบ. เป‚เบ›เบฃเปเบเบฃเบกเปเบฎเบฑเบเป„เบŸเบฅเปŒเบ—เบตเปˆเบšเปเปˆเบกเบตเป„เบŸเบฅเปŒ, เป€เบŠเบดเปˆเบ‡เป€เบญเบตเป‰เบ™เบเบฑเบ™เบงเปˆเบฒเป‚เบ›เบฃเปเบเบฃเบกเปเบฎเบฑเบเป„เบŸเบฅเปŒเบ—เบตเปˆเบšเปเปˆเบกเบตเป„เบŸเบฅเปŒ, เป‚เบ”เบเบ›เบปเบเบเบฐเบ•เบดเปเบฅเป‰เบงเปƒเบŠเป‰ PowerShell เปƒเบ™เบฅเบฐเบšเบปเบš Windows เป€เบžเบทเปˆเบญเปเบฅเปˆเบ™เบ„เบณเบชเบฑเปˆเบ‡เบขเปˆเบฒเบ‡เบ‡เบฝเบšเป†เป€เบžเบทเปˆเบญเบ„เบปเป‰เบ™เบซเบฒ เปเบฅเบฐเบชเบฐเบเบฑเบ”เป€เบ™เบทเป‰เบญเบซเบฒเบ—เบตเปˆเบกเบตเบ„เบธเบ™เบ„เปˆเบฒ. เบเบฒเบ™เบเบงเบ”เบชเบญเบšเบเบฒเบ™เป€เบ„เบทเปˆเบญเบ™เป„เบซเบงเบ‚เบญเบ‡เปเบฎเบเป€เบเบตเป‚เบ”เบเบšเปเปˆเบกเบตเป„เบŸเบฅเปŒเบญเบฑเบ™เบ•เบฐเบฅเบฒเบเปเบกเปˆเบ™เป€เบ›เบฑเบ™เบงเบฝเบเบ—เบตเปˆเบเบฒเบ, เป€เบžเบฒเบฐเบงเปˆเบฒ ... antiviruses เปเบฅเบฐเบฅเบฐเบšเบปเบšเบเบฒเบ™เบŠเบญเบเบ„เบปเป‰เบ™เบซเบฒเบญเบทเปˆเบ™เป†เบˆเปเบฒเบ™เบงเบ™เบซเบผเบฒเบเป€เบฎเบฑเบ”เบงเบฝเบเป‚เบ”เบเบญเบตเบ‡เปƒเบชเปˆเบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบฅเบฒเบเป€เบŠเบฑเบ™. เปเบ•เปˆเบ‚เปˆเบฒเบงเบ”เบตเปเบกเปˆเบ™เบงเปˆเบฒเบŠเบญเบšเปเบงเบ”เบฑเปˆเบ‡เบเปˆเบฒเบงเบกเบตเบขเบนเปˆ. เบเบปเบโ€‹เบ•เบปเบงโ€‹เบขเปˆเบฒเบ‡, เบฅเบฐเบšเบปเบš UBA, เบชเบฒเบกเบฒเบ”เบเบงเบ”เบžเบปเบšเบเบฒเบ™เป€เบ„เบทเปˆเบญเบ™เป„เบซเบงเบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเปƒเบ™เบฅเบฐเบšเบปเบšเป„เบŸเบฅเปŒ.

เปƒเบ™เป€เบงเบฅเบฒเบ—เบตเปˆเบ‚เป‰เบฒเบžเบฐเป€เบˆเบปเป‰เบฒเป„เบ”เป‰เป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™เบเบฒเบ™เบ„เบปเป‰เบ™เบ„เบงเป‰เบฒเบเปˆเบฝเบงเบเบฑเบšเบซเบปเบงเบ‚เปเป‰เบ‚เบญเบ‡เปเบฎเบเป€เบเบต badass, เบšเปเปˆเปƒเบŠเป‰เบงเบดเบ—เบตเบเบฒเบ™เบ•เบดเบ”เป€เบŠเบทเป‰เบญเปเบšเบšเบ”เบฑเป‰เบ‡เป€เบ”เบตเบก, เปเบ•เปˆเบงเปˆเบฒเบžเบฝเบ‡เปเบ•เปˆเป€เบ„เบทเปˆเบญเบ‡เบกเบทเปเบฅเบฐเบŠเบญเบšเปเบงเบ—เบตเปˆเบกเบตเบขเบนเปˆเปƒเบ™เบ„เบญเบกเบžเบดเบงเป€เบ•เบตเบ‚เบญเบ‡เบœเบนเป‰เบ–เบทเบเป€เบ„เบฒเบฐเบฎเป‰เบฒเบ, เบ‚เป‰เบฒเบžเบฐเป€เบˆเบปเป‰เบฒเบšเปเปˆเบกเบตเบ„เบงเบฒเบกเบ„เบดเบ”เบ—เบตเปˆเบงเปˆเบฒเบ™เบตเป‰เบˆเบฐเบเบฒเบเป€เบ›เบฑเบ™เบงเบดเบ—เบตเบเบฒเบ™เป‚เบˆเบกเบ•เบตเบ—เบตเปˆเบ™เบดเบเบปเบกเปƒเบ™เป„เบงเป†เบ™เบตเป‰. เบœเบนเป‰เบŠเปˆเบฝเบงเบŠเบฒเบ™เบ”เป‰เบฒเบ™เบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž เป€เบงเบปเป‰เบฒเบงเปˆเบฒเบ™เบตเป‰เบเบฒเบเป€เบ›เบฑเบ™เปเบ™เบงเป‚เบ™เป‰เบก, เปเบฅเบฐ เบซเบปเบงเบ‚เปเป‰เบ‚เปˆเบฒเบงเบ—เบตเปˆเบซเบ™เป‰เบฒเบขเป‰เบฒเบ™ - เบเบฒเบ™เบขเบทเบ™เบขเบฑเบ™เบ™เบตเป‰. เป€เบžเบฒเบฐเบชเบฐเบ™เบฑเป‰เบ™, เบ‚เป‰เบฒเบžเบฐเป€เบˆเบปเป‰เบฒเป„เบ”เป‰เบ•เบฑเบ”เบชเบดเบ™เปƒเบˆเป€เบฎเบฑเบ”เบŠเบธเบ”เบžเบดเบกเปƒเบ™เบซเบปเบงเบ‚เปเป‰เบ™เบตเป‰.

PowerShell เบ—เบตเปˆเบเบดเปˆเบ‡เปƒเบซเบเปˆเปเบฅเบฐเบกเบตเบญเปเบฒเบ™เบฒเบ”

เบ‚เป‰เบฒเบžเบฐเป€เบˆเบปเป‰เบฒเป„เบ”เป‰เบ‚เบฝเบ™เบเปˆเบฝเบงเบเบฑเบšเบšเบฒเบ‡เปเบ™เบงเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบผเบปเปˆเบฒเบ™เบตเป‰เบเปˆเบญเบ™เบ—เบตเปˆเบˆเบฐเบขเบนเปˆเปƒเบ™ เบŠเบธเบ” PowerShell obfuscation, เปเบ•เปˆเบญเบตเบ‡เปƒเบชเปˆเปเบ™เบงเบ„เบงเบฒเบกเบ„เบดเบ”เบ—เบฒเบ‡เบ—เบดเบ”เบชเบฐเบ”เบตเบซเบผเบฒเบ. เบ•เปเปˆเบกเบฒเบ‚เป‰เบฒเบžเบฐเป€เบˆเบปเป‰เบฒเบกเบฒเปƒเบ™เบ—เบปเปˆเบง เป€เบงเบฑเบšเป„เบŠเบ—เปŒเบชเปเบฒเบฅเบฑเบšเบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเปเบšเบšเบ›เบฐเบชเบปเบก, เบšเปˆเบญเบ™เบ—เบตเปˆเบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เบŠเบญเบเบซเบฒเบ•เบปเบงเบขเปˆเบฒเบ‡เบ‚เบญเบ‡ malware "เบˆเบฑเบšเป„เบ”เป‰" เปƒเบ™เบ—เปเบฒเบกเบฐเบŠเบฒเบ”. เบ‚เป‰เบญเบเบ•เบฑเบ”เบชเบดเบ™เปƒเบˆเบฅเบญเบ‡เปƒเบŠเป‰เป€เบงเบฑเบšเป„เบŠเบ™เบตเป‰เป€เบžเบทเปˆเบญเบŠเบญเบเบซเบฒเบ•เบปเบงเบขเปˆเบฒเบ‡เบ‚เบญเบ‡ malware เบ—เบตเปˆเบšเปเปˆเบกเบตเป„เบŸเบฅเปŒ. เปเบฅเบฐเบ‚เป‰เบญเบเบ›เบฐเบชเบปเบšเบœเบปเบ™เบชเปเบฒเป€เบฅเบฑเบ”. เป‚เบ”เบเบงเบดเบ—เบตเบ—เบฒเบ‡เบเบฒเบ™, เบ–เป‰เบฒเบ—เปˆเบฒเบ™เบ•เป‰เบญเบ‡เบเบฒเบ™เป„เบ›เปเบšเบšเป€เบฅเบฑเปˆเบ‡เบฅเบฑเบ”เบเบฒเบ™เบฅเปˆเบฒเบชเบฑเบ” malware เบ‚เบญเบ‡เบ—เปˆเบฒเบ™เป€เบญเบ‡, เบ—เปˆเบฒเบ™เบˆเบฐเบ•เป‰เบญเบ‡เป„เบ”เป‰เบฎเบฑเบšเบเบฒเบ™เบขเบฑเป‰เบ‡เบขเบทเบ™เบˆเบฒเบเป€เบงเบฑเบšเป„เบŠเบ—เปŒเบ™เบตเป‰เป€เบžเบทเปˆเบญเปƒเบซเป‰เบžเบงเบเป€เบ‚เบปเบฒเบฎเบนเป‰เบงเปˆเบฒเบ—เปˆเบฒเบ™เบเปเบฒเบฅเบฑเบ‡เป€เบฎเบฑเบ”เบงเบฝเบเป€เบ›เบฑเบ™เบœเบนเป‰เบŠเปˆเบฝเบงเบŠเบฒเบ™เบ”เป‰เบฒเบ™เบซเบกเบงเบเบ‚เบฒเบง. เปƒเบ™เบ–เบฒเบ™เบฐเป€เบ›เบฑเบ™ blogger เบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž, เบ‚เป‰เบฒเบžเบฐเป€เบˆเบปเป‰เบฒเป„เบ”เป‰เบœเปˆเบฒเบ™เบกเบฑเบ™เป‚เบ”เบเบšเปเปˆเบกเบตเบ„เปเบฒเบ–เบฒเบก. เบ‚เป‰เบญเบเปเบ™เปˆเปƒเบˆเบงเปˆเบฒเป€เบˆเบปเป‰เบฒเบชเบฒเบกเบฒเบ”เป€เบฎเบฑเบ”เป„เบ”เป‰เบ„เบทเบเบฑเบ™.

เบ™เบญเบเป€เบซเบ™เบทเบญเป„เบ›เบˆเบฒเบเบ•เบปเบงเบขเปˆเบฒเบ‡เบ‚เบญเบ‡เบ•เบปเบงเป€เบญเบ‡, เบขเบนเปˆเปƒเบ™เป€เบงเบฑเบšเป„เบŠเบ—เบตเปˆเบ—เปˆเบฒเบ™เบชเบฒเบกเบฒเบ”เป€เบšเบดเปˆเบ‡เบชเบดเปˆเบ‡เบ—เบตเปˆเป‚เบ„เบ‡เบเบฒเบ™เป€เบซเบผเบปเปˆเบฒเบ™เบตเป‰เป€เบฎเบฑเบ”. เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเปเบšเบšเบ›เบฐเบชเบปเบกเปเบฅเปˆเบ™เบกเบฒเบฅเปเบงเปƒเบ™ sandbox เบ‚เบญเบ‡เบกเบฑเบ™เป€เบญเบ‡ เปเบฅเบฐเบ•เบดเบ”เบ•เบฒเบกเบเบฒเบ™เป‚เบ—เบฅเบฐเบšเบปเบš, เบ‚เบฐเบšเบงเบ™เบเบฒเบ™เปเบฅเปˆเบ™ เปเบฅเบฐเบเบฒเบ™เป€เบ„เบทเปˆเบญเบ™เป„เบซเบงเป€เบ„เบทเบญเบ‚เปˆเบฒเบ, เปเบฅเบฐเบชเบฐเบเบฑเบ”เบ‚เปเป‰เบ„เบงเบฒเบกเบ—เบตเปˆเปœเป‰เบฒเบชเบปเบ‡เป„เบช. เบชเปเบฒเบฅเบฑเบš binaries เปเบฅเบฐเป„เบŸเบฅเปŒเบ›เบฐเบ•เบดเบšเบฑเบ”เบเบฒเบ™เบญเบทเปˆเบ™เป†, i.e. เบšเปˆเบญเบ™เบ—เบตเปˆเบ—เปˆเบฒเบ™เบšเปเปˆเบชเบฒเบกเบฒเบ”เป€เบšเบดเปˆเบ‡เบฅเบฐเบซเบฑเบ”เบฅเบฐเบ”เบฑเบšเบชเบนเบ‡เบ•เบปเบงเบˆเบดเบ‡เป„เบ”เป‰, เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเปเบšเบšเบ›เบฐเบชเบปเบกเบˆเบฐเบ•เบฑเบ”เบชเบดเบ™เปƒเบˆเบงเปˆเบฒเบŠเบญเบšเปเบงเปเบกเปˆเบ™เป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบซเบผเบทเบžเบฝเบ‡เปเบ•เปˆเบชเบปเบ‡เปƒเบชเป‚เบ”เบเบญเบตเบ‡เปƒเบชเปˆเบเบดเบ”เบˆเบฐเบเปเบฒ runtime เบ‚เบญเบ‡เบกเบฑเบ™. เปเบฅเบฐเบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™, เบ•เบปเบงเบขเปˆเบฒเบ‡เป„เบ”เป‰เบ–เบทเบเบ›เบฐเป€เบกเบตเบ™เปเบฅเป‰เบง.

เปƒเบ™เบเปเบฅเบฐเบ™เบตเบ‚เบญเบ‡ PowerShell เปเบฅเบฐเบชเบฐเบ„เบดเบšเบ•เบปเบงเบขเปˆเบฒเบ‡เบญเบทเปˆเบ™เป† (Visual Basic, JavaScript, เปเบฅเบฐเบญเบทเปˆเบ™เป†), เบ‚เป‰เบญเบเบชเบฒเบกเบฒเบ”เป€เบซเบฑเบ™เบฅเบฐเบซเบฑเบ”เบ•เบปเบงเบกเบฑเบ™เป€เบญเบ‡. เบ•เบปเบงเบขเปˆเบฒเบ‡, เบ‚เป‰เบญเบเบžเบปเบšเบ•เบปเบงเบขเปˆเบฒเบ‡ PowerShell เบ™เบตเป‰:

เบเบฒเบ™เบœเบฐเบˆเบปเบ™เป„เบžเบ‚เบญเบ‡ Malware Elusive, เบžเบฒเบเบ—เบต I

เบ™เบญเบเบ™เบฑเป‰เบ™เบ—เปˆเบฒเบ™เบเบฑเบ‡เบชเบฒเบกเบฒเบ”เป€เบ›เบตเบ”เปƒเบŠเป‰ PowerShell เปƒเบ™เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ” base64 เป€เบžเบทเปˆเบญเบซเบผเบตเบเป€เบงเบฑเป‰เบ™เบเบฒเบ™เบเบงเบ”เบžเบปเบš. เปƒเบซเป‰เบชเบฑเบ‡เป€เบเบ”เบเบฒเบ™เบ™เปเบฒเปƒเบŠเป‰เบ•เบปเบงเบเปเบฒเบ™เบปเบ”เบเบฒเบ™เบ—เบตเปˆเบšเปเปˆเป‚เบ•เป‰เบ•เบญเบšเปเบฅเบฐเป€เบŠเบทเปˆเบญเบ‡เป„เบงเป‰.

เบ–เป‰เบฒเบ—เปˆเบฒเบ™เป„เบ”เป‰เบญเปˆเบฒเบ™เบ‚เปเป‰เบ„เบงเบฒเบกเบ‚เบญเบ‡เบ‚เป‰เบญเบเบเปˆเบฝเบงเบเบฑเบš obfuscation, เบซเบผเบฑเบ‡เบˆเบฒเบเบ™เบฑเป‰เบ™เบ—เปˆเบฒเบ™เบฎเบนเป‰เบงเปˆเบฒเบ—เบฒเบ‡เป€เบฅเบทเบญเบ -e เบเปเบฒเบ™เบปเบ”เบงเปˆเบฒเป€เบ™เบทเป‰เบญเบซเบฒเบ–เบทเบเป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ” base64. เป‚เบ”เบเบงเบดเบ—เบตเบ—เบฒเบ‡เบเบฒเบ™, เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเปเบšเบšเบ›เบฐเบชเบปเบกเบเบฑเบ‡เบŠเปˆเบงเบเปƒเบ™เป€เบฅเบทเปˆเบญเบ‡เบ™เบตเป‰เป‚เบ”เบเบเบฒเบ™เบ–เบญเบ”เบฅเบฐเบซเบฑเบ”เบ—เบธเบเบขเปˆเบฒเบ‡เบ„เบทเบ™. เบ–เป‰เบฒโ€‹เบซเบฒเบโ€‹เบงเปˆเบฒโ€‹เบ—เปˆเบฒเบ™โ€‹เบ•เป‰เบญเบ‡โ€‹เบเบฒเบ™โ€‹เบ—เบตเปˆโ€‹เบˆเบฐโ€‹เบžเบฐโ€‹เบเบฒโ€‹เบเบฒเบกโ€‹เบ–เบญเบ”โ€‹เบฅเบฐโ€‹เบซเบฑเบ” base64 PowerShell (เบ•เปเปˆโ€‹เป„เบ›โ€‹เบ™เบตเป‰โ€‹เป€เบญเบตเป‰เบ™โ€‹เบงเปˆเบฒ PSโ€‹) เบ•เบปเบงโ€‹เบ—เปˆเบฒเบ™โ€‹เป€เบญเบ‡โ€‹, เบ—เปˆเบฒเบ™โ€‹เบˆเปเบฒโ€‹เป€เบ›เบฑเบ™โ€‹เบ•เป‰เบญเบ‡โ€‹เบ”เปเบฒโ€‹เป€เบ™เบตเบ™โ€‹เบเบฒเบ™โ€‹เบ„เปเบฒโ€‹เบชเบฑเปˆเบ‡โ€‹เบ™เบตเป‰โ€‹: 

 [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))

เป€เบฅเบดเบเบเบงเปˆเบฒ

เบ‚เป‰เบฒเบžเบฐเป€เบˆเบปเป‰เบฒเป„เบ”เป‰เบ–เบญเบ”เบฅเบฐเบซเบฑเบ”เบชเบฐเบ„เบดเบš PS เบ‚เบญเบ‡เบžเบงเบเป€เบฎเบปเบฒเป‚เบ”เบเปƒเบŠเป‰เบงเบดเบ—เบตเบ™เบตเป‰, เบ‚เป‰เบฒเบ‡เบฅเบธเปˆเบกเบ™เบตเป‰เปเบกเปˆเบ™เบ‚เปเป‰เบ„เบงเบฒเบกเบ‚เบญเบ‡เป‚เบ„เบ‡เบเบฒเบ™, เป€เบ–เบดเบ‡เปเบกเปˆเบ™เบงเปˆเบฒเบ–เบทเบเบ”เบฑเบ”เปเบ›เบ‡เป€เบฅเบฑเบเบ™เป‰เบญเบเป‚เบ”เบเบ‚เป‰เบญเบ:

เบเบฒเบ™เบœเบฐเบˆเบปเบ™เป„เบžเบ‚เบญเบ‡ Malware Elusive, เบžเบฒเบเบ—เบต I

เปƒเบซเป‰เบชเบฑเบ‡เป€เบเบ”เบงเปˆเบฒเบชเบฐเบ„เบฃเบดเบšเบ–เบทเบเบœเบนเบเบกเบฑเบ”เบเบฑเบšเบงเบฑเบ™เบ—เบต 4 เบเบฑเบ™เบเบฒ 2017 เปเบฅเบฐเบชเบปเปˆเบ‡เบœเปˆเบฒเบ™เบ„เบธเบเบเบตเป€เบŠเบ”เบŠเบฑเบ™.

เบ‚เป‰เบฒเบžเบฐเป€เบˆเบปเป‰เบฒเป„เบ”เป‰เบ‚เบฝเบ™เบเปˆเบฝเบงเบเบฑเบšเบฎเบนเบšเปเบšเบšเบเบฒเบ™เป‚เบˆเบกเบ•เบตเบ™เบตเป‰เปƒเบ™ PS obfuscation เบŠเบธเบ”, เปƒเบ™เบ—เบตเปˆ base64 script เบ—เบตเปˆเป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ”เบ•เบปเบงเบกเบฑเบ™เป€เบญเบ‡เป‚เบซเบฅเบ” เบซเบฒเบ malware เบˆเบฒเบเป€เบงเบฑเบšเป„เบŠเบ—เปŒเบญเบทเปˆเบ™, เบเบฒเบ™เบ™เปเบฒเปƒเบŠเป‰เบงเบฑเบ”เบ–เบธ WebClient เบ‚เบญเบ‡เบซเป‰เบญเบ‡เบชเบฐเบซเบกเบธเบ” .Net Framework เป€เบžเบทเปˆเบญเป€เบฎเบฑเบ”เบเบฒเบ™เบเบปเบเบซเบ™เบฑเบ.

เบกเบฑเบ™เปเบกเปˆเบ™เบซเบเบฑเบ‡เบชเปเบฒเบฅเบฑเบš?

เบชเปเบฒเบฅเบฑเบšเบŠเบญเบšเปเบงเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบžเบ—เบตเปˆเบชเบฐเปเบเบ™เบšเบฑเบ™เบ—เบถเบเป€เบซเบ”เบเบฒเบ™ Windows เบซเบผเบท firewalls, เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเบฅเบฐเบซเบฑเบ” base64 เบ›เป‰เบญเบ‡เบเบฑเบ™เบšเปเปˆเปƒเบซเป‰ "WebClient" เบ–เบทเบเบเบงเบ”เบžเบปเบšเป‚เบ”เบเบฎเบนเบšเปเบšเบšเบ‚เปเป‰เบ„เบงเบฒเบกเบ—เปเบฒเบกเบฐเบ”เบฒเป€เบžเบทเปˆเบญเบ›เป‰เบญเบ‡เบเบฑเบ™เบเบฒเบ™เบฎเป‰เบญเบ‡เบ‚เปเป€เบงเบฑเบšเป„เบŠเบ•เปŒเบ”เบฑเปˆเบ‡เบเปˆเบฒเบง. เปเบฅเบฐเบ™เบฑเบšเบ•เบฑเป‰เบ‡เปเบ•เปˆ "เบ„เบงเบฒเบกเบŠเบปเปˆเบงเบฎเป‰เบฒเบ" เบ—เบฑเบ‡เบซเบกเบปเบ”เบ‚เบญเบ‡ malware เป„เบ”เป‰เบ–เบทเบเบ”เบฒเบงเป‚เบซเบผเบ”เปเบฅเบฐเบœเปˆเบฒเบ™เป€เบ‚เบปเป‰เบฒเป„เบ›เปƒเบ™ PowerShell เบ‚เบญเบ‡เบžเบงเบเป€เบฎเบปเบฒ, เบงเบดเบ—เบตเบเบฒเบ™เบ™เบตเป‰เป€เบฎเบฑเบ”เปƒเบซเป‰เบžเบงเบเป€เบฎเบปเบฒเบซเบฅเบตเบเบฅเป‰เบฝเบ‡เบเบฒเบ™เบเบงเบ”เบชเบญเบšเป„เบ”เป‰เบขเปˆเบฒเบ‡เบชเบปเบกเบšเบนเบ™. เบซเบผเบทเปเบ—เบ™เบ—เบตเปˆเบˆเบฐ, เบ™เบฑเป‰เบ™เปเบกเปˆเบ™เบชเบดเปˆเบ‡เบ—เบตเปˆเบ‚เป‰เบญเบเบ„เบดเบ”เปƒเบ™เบ•เบญเบ™เบ—เปเบฒเบญเบดเบ”.

เบกเบฑเบ™เบ›เบฐเบเบปเบ”เบงเปˆเบฒเบ”เป‰เบงเบเบเบฒเบ™เป€เบ›เบตเบ”เปƒเบŠเป‰ Windows PowerShell Advanced Logging (เป€เบšเบดเปˆเบ‡เบšเบปเบ”เบ„เบงเบฒเบกเบ‚เบญเบ‡เบ‚เป‰เบญเบ), เบ—เปˆเบฒเบ™เบˆเบฐเบชเบฒเบกเบฒเบ”เป€เบซเบฑเบ™เป€เบชเบฑเป‰เบ™เบ—เบตเปˆเป‚เบซเบฅเบ”เบขเบนเปˆเปƒเบ™เบšเบฑเบ™เบ—เบถเบเป€เบซเบ”เบเบฒเบ™. เบ‚เป‰เบญเบเบ„เบท เปเบฅเบฐเบญเบทเปˆเบ™เป† ) เบ‚เป‰เบฒเบžเบฐเป€เบˆเบปเป‰เบฒเบ„เบดเบ”เบงเปˆเบฒ Microsoft เบ„เบงเบ™เป€เบ›เบตเบ”เปƒเบŠเป‰เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเบชเบนเปˆเบฅเบฐเบšเบปเบšเปƒเบ™เบฅเบฐเบ”เบฑเบšเบ™เบตเป‰เป‚เบ”เบเบ„เปˆเบฒเป€เบฅเบตเปˆเบกเบ•เบปเป‰เบ™. เบ”เบฑเปˆเบ‡เบ™เบฑเป‰เบ™, เบ”เป‰เบงเบเบเบฒเบ™เบ‚เบฐเบซเบเบฒเบเบเบฒเบ™เป€เบ‚เบปเป‰เบฒเบชเบนเปˆเบฅเบฐเบšเบปเบš, เบžเบงเบเป€เบฎเบปเบฒเบˆเบฐเป€เบซเบฑเบ™เบขเบนเปˆเปƒเบ™เป€เบซเบ”เบเบฒเบ™ Windows เบšเบฑเบ™เบ—เบถเบเบเบฒเบ™เบฎเป‰เบญเบ‡เบ‚เปเบเบฒเบ™เบ”เบฒเบงเป‚เบซเบผเบ”เบ—เบตเปˆเบชเปเบฒเป€เบฅเบฑเบ”เบˆเบฒเบ PS script เบ•เบฒเบกเบ•เบปเบงเบขเปˆเบฒเบ‡เบ—เบตเปˆเบžเบงเบเป€เบฎเบปเบฒเบชเบปเบ™เบ—เบฐเบ™เบฒเบ‚เป‰เบฒเบ‡เป€เบ—เบดเบ‡. เบ”เบฑเปˆเบ‡เบ™เบฑเป‰เบ™, เบกเบฑเบ™เบชเบปเบกเป€เบซเบ”เบชเบปเบกเบœเบปเบ™เบ—เบตเปˆเบˆเบฐเป€เบ›เบตเบ”เปƒเบŠเป‰เบกเบฑเบ™, เป€เบˆเบปเป‰เบฒเป€เบซเบฑเบ™เบ”เบตเบšเป?

เปƒเบซเป‰เป€เบžเบตเปˆเบกเบชเบฐเบ–เบฒเบ™เบฐเบเบฒเบ™เป€เบžเบตเปˆเบกเป€เบ•เบตเบก

เปเบฎเบเป€เบเบตเป€เบŠเบทเปˆเบญเบ‡เบเบฒเบ™เป‚เบˆเบกเบ•เบต PowerShell เบขเปˆเบฒเบ‡เบชเบฐเบซเบฅเบฒเบ”เปƒเบ™ Macros Microsoft Office เบ—เบตเปˆเบ‚เบฝเบ™เปƒเบ™ Visual Basic เปเบฅเบฐเบžเบฒเบชเบฒเบชเบฐเบ„เบฃเบดเบšเบญเบทเปˆเบ™เป†. เปเบ™เบงเบ„เบงเบฒเบกเบ„เบดเบ”เปเบกเปˆเบ™เบงเปˆเบฒเบœเบนเป‰เบ–เบทเบเป€เบ„เบฒเบฐเบฎเป‰เบฒเบเป„เบ”เป‰เบฎเบฑเบšเบ‚เปเป‰เบ„เบงเบฒเบก, เบ•เบปเบงเบขเปˆเบฒเบ‡เบˆเบฒเบเบเบฒเบ™เบšเปเบฅเบดเบเบฒเบ™เบˆเบฑเบ”เบชเบปเปˆเบ‡, เป‚เบ”เบเบกเบตเบšเบปเบ”เบฅเบฒเบเบ‡เบฒเบ™เบ„เบฑเบ”เบ•เบดเบ”เบขเบนเปˆเปƒเบ™เบฎเบนเบšเปเบšเบš .doc. เบ—เปˆเบฒเบ™เป€เบ›เบตเบ”เป€เบญเบเบฐเบชเบฒเบ™เบ™เบตเป‰เบ—เบตเปˆเบ›เบฐเบเบญเบšเบ”เป‰เบงเบเบกเบฐเบซเบฒเบžเบฒเบ, เปเบฅเบฐเบกเบฑเบ™เบˆเบฐเบชเบดเป‰เบ™เบชเบธเบ”เบเบฒเบ™เป€เบ›เบตเบ”เบ•เบปเบง PowerShell เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบ™เบฑเป‰เบ™เป€เบญเบ‡.

เป€เบฅเบทเป‰เบญเบเป†เบชเบฐเบ„เบฃเบดเบš Visual Basic เบ•เบปเบงเบ‚เบญเบ‡เบกเบฑเบ™เป€เบญเบ‡เบ–เบทเบเบฅเบปเบšเบเบงเบ™เป€เบžเบทเปˆเบญเปƒเบซเป‰เบกเบฑเบ™เบซเบฅเบตเบเบฅเปˆเบฝเบ‡เบ•เบปเบงเบชเบฐเปเบเบ™เป„เบงเบฃเบฑเบชเปเบฅเบฐ malware เบญเบทเปˆเบ™เป†เบขเปˆเบฒเบ‡เป€เบชเบฅเบต. เปƒเบ™เบˆเบดเบ”เปƒเบˆเบ‚เบญเบ‡เบ‚เป‰เบฒเบ‡เป€เบ—เบดเบ‡, เบ‚เป‰เบฒเบžเบฐเป€เบˆเบปเป‰เบฒเป„เบ”เป‰เบ•เบฑเบ”เบชเบดเบ™เปƒเบˆเบฅเบฐเบซเบฑเบ” PowerShell เบ‚เป‰เบฒเบ‡เป€เบ—เบดเบ‡เปƒเบ™ JavaScript เป€เบ›เบฑเบ™เบเบฒเบ™เบญเบญเบเบเปเบฒเบฅเบฑเบ‡เบเบฒเบ. เบ‚เป‰เบฒเบ‡เบฅเบธเปˆเบกเบ™เบตเป‰เปเบกเปˆเบ™เบœเบปเบ™เบ‚เบญเบ‡เบเบฒเบ™เป€เบฎเบฑเบ”เบงเบฝเบเบ‚เบญเบ‡เบ‚เป‰เบญเบ:

เบเบฒเบ™เบœเบฐเบˆเบปเบ™เป„เบžเบ‚เบญเบ‡ Malware Elusive, เบžเบฒเบเบ—เบต I

JavaScript เบ—เบตเปˆเบชเบฑเบšเบชเบปเบ™เป€เบŠเบทเปˆเบญเบ‡ PowerShell เบ‚เบญเบ‡เบžเบงเบเป€เบฎเบปเบฒ. เปเบฎเบเป€เบเบตเบ—เบตเปˆเปเบ—เป‰เบˆเบดเบ‡เป€เบฎเบฑเบ”เบชเบดเปˆเบ‡เบ™เบตเป‰เบซเบ™เบถเปˆเบ‡เบซเบผเบทเบชเบญเบ‡เบ„เบฑเป‰เบ‡.

เบ™เบตเป‰เปเบกเปˆเบ™เป€เบ•เบฑเบเบ™เบดเบเบญเบทเปˆเบ™เบ—เบตเปˆเบ‚เป‰เบญเบเป€เบซเบฑเบ™เบฅเบญเบเบขเบนเปˆเบ—เบปเปˆเบงเป€เบงเบฑเบš: เปƒเบŠเป‰ Wscript.Shell เป€เบžเบทเปˆเบญเปเบฅเปˆเบ™เบฅเบฐเบซเบฑเบ” PowerShell. เป‚เบ”เบเบงเบดเบ—เบตเบ—เบฒเบ‡เบเบฒเบ™, JavaScript เบ•เบปเบงเบ‚เบญเบ‡เบกเบฑเบ™เป€เบญเบ‡เปเบกเปˆเบ™ เปเบฒเบ เบ„เบงเบฒเบกเบงเปˆเบฒ เบเบฒเบ™เบˆเบฑเบ”เบชเบปเปˆเบ‡ malware. Windows เบซเบผเบฒเบเบฅเบธเป‰เบ™เบกเบตเปƒเบ™เบ•เบปเบง Windows Script Host, เป€เบŠเบดเปˆเบ‡เบ•เบปเบงเบกเบฑเบ™เป€เบญเบ‡เบชเบฒเบกเบฒเบ”เบ”เปเบฒเป€เบ™เบตเบ™เบเบฒเบ™ JS.
เปƒเบ™เบเปเบฅเบฐเบ™เบตเบ‚เบญเบ‡เบžเบงเบเป€เบฎเบปเบฒ, script JS เบ—เบตเปˆเป€เบ›เบฑเบ™เบญเบฑเบ™เบ•เบฐเบฅเบฒเบเบ–เบทเบเบเบฑเบ‡เป€เบ›เบฑเบ™เป„เบŸเบฅเปŒเบ—เบตเปˆเบกเบตเบ™เบฒเบกเบชเบฐเบเบธเบ™ .doc.js. Windows เป‚เบ”เบเบ—เบปเปˆเบงเป„เบ›เบˆเบฐเบชเบฐเปเบ”เบ‡เบžเบฝเบ‡เปเบ•เปˆเบ„เปเบฒเบ•เปเปˆเบ—เป‰เบฒเบเบ—เปเบฒเบญเบดเบ”, เบ”เบฑเปˆเบ‡เบ™เบฑเป‰เบ™เบกเบฑเบ™เบˆเบฐเบ›เบฒเบเบปเบ”เปƒเบซเป‰เบœเบนเป‰เบ–เบทเบเป€เบ„เบฒเบฐเบฎเป‰เบฒเบเป€เบ›เบฑเบ™เป€เบญเบเบฐเบชเบฒเบ™ Word.

เบเบฒเบ™เบœเบฐเบˆเบปเบ™เป„เบžเบ‚เบญเบ‡ Malware Elusive, เบžเบฒเบเบ—เบต I

เป„เบญเบ„เบญเบ™ JS เบ›เบฒเบเบปเบ”เบขเบนเปˆเปƒเบ™เป„เบญเบ„เบญเบ™เป€เบฅเบทเปˆเบญเบ™เป€เบ—เบปเปˆเบฒเบ™เบฑเป‰เบ™. เบกเบฑเบ™เบšเปเปˆเปเบ›เบเปƒเบˆเบ—เบตเปˆเบซเบผเบฒเบเบ„เบปเบ™เบˆเบฐเป€เบ›เบตเบ”เป„เบŸเบฅเปŒเปเบ™เบšเบ™เบตเป‰เป‚เบ”เบเบ„เบดเบ”เบงเปˆเบฒเบกเบฑเบ™เป€เบ›เบฑเบ™เป€เบญเบเบฐเบชเบฒเบ™ Word.

เปƒเบ™เบ•เบปเบงเบขเปˆเบฒเบ‡เบ‚เบญเบ‡เบ‚เป‰เบญเบ, เบ‚เป‰เบญเบเป„เบ”เป‰เปเบเป‰เป„เบ‚ PowerShell เบ‚เป‰เบฒเบ‡เป€เบ—เบดเบ‡เป€เบžเบทเปˆเบญเบ”เบฒเบงเป‚เบซเบฅเบ”เบชเบฐเบ„เบฃเบดเบšเบˆเบฒเบเป€เบงเบฑเบšเป„เบŠเบ—เปŒเบ‚เบญเบ‡เบ‚เป‰เบญเบ. script PS เบซเปˆเบฒเบ‡เป„เบเบชเบญเบเบซเบผเบตเบเบžเบฝเบ‡เปเบ•เปˆเบžเบดเบก "Evil Malware". เบ”เบฑเปˆเบ‡เบ—เบตเปˆเป€เบˆเบปเป‰เบฒเบชเบฒเบกเบฒเบ”เป€เบซเบฑเบ™เป„เบ”เป‰, เบฅเบฒเบงเบšเปเปˆเป„เบ”เป‰เบŠเบปเปˆเบงเป€เบฅเบตเบ. เปเบ™เปˆเบ™เบญเบ™, เปเบฎเบเป€เบเบตเบ—เบตเปˆเปเบ—เป‰เบˆเบดเบ‡เบกเบตเบ„เบงเบฒเบกเบชเบปเบ™เปƒเบˆเปƒเบ™เบเบฒเบ™เป€เบ‚เบปเป‰เบฒเป€เบ–เบดเบ‡เบ„เบญเบกเบžเบดเบงเป€เบ•เบตเบซเบผเบทเป€เบ„เบทเปˆเบญเบ‡เปเบกเปˆเบ‚เปˆเบฒเบ, เป€เบงเบปเป‰เบฒเบงเปˆเบฒ, เบœเปˆเบฒเบ™เปเบเบฐเบ„เปเบฒเบชเบฑเปˆเบ‡. เปƒเบ™โ€‹เบšเบปเบ”โ€‹เบ„เบงเบฒเบกโ€‹เบ•เปเปˆโ€‹เป„เบ›, เบ‚เป‰เบฒโ€‹เบžเบฐโ€‹เป€เบˆเบปเป‰เบฒโ€‹เบˆเบฐโ€‹เบชเบฐโ€‹เปเบ”เบ‡โ€‹เปƒเบซเป‰โ€‹เบ—เปˆเบฒเบ™โ€‹เบงเบดโ€‹เบ—เบตโ€‹เบเบฒเบ™โ€‹เป€เบฎเบฑเบ”โ€‹เบชเบดเปˆเบ‡โ€‹เบ™เบตเป‰โ€‹เป‚เบ”เบโ€‹เบเบฒเบ™โ€‹เบ™เปเบฒโ€‹เปƒเบŠเป‰ PowerShell Empire.

เบ‚เป‰เบฒโ€‹เบžเบฐโ€‹เป€เบˆเบปเป‰เบฒโ€‹เบซเบงเบฑเบ‡โ€‹เบงเปˆเบฒโ€‹เบชเปเบฒโ€‹เบฅเบฑเบšโ€‹เบšเบปเบ”โ€‹เบ„เบงเบฒเบกโ€‹เปเบ™เบฐโ€‹เบ™เปเบฒโ€‹เบ„เบฑเป‰เบ‡โ€‹เบ—เปเบฒโ€‹เบญเบดเบ”โ€‹เบžเบงเบโ€‹เป€เบฎเบปเบฒโ€‹เบšเปเปˆโ€‹เป„เบ”เป‰ dive เป€เบฅเบดเบโ€‹เป€เบเบตเบ™โ€‹เป„เบ›โ€‹เปƒเบ™โ€‹เบซเบปเบงโ€‹เบ‚เปเป‰. เบ•เบญเบ™เบ™เบตเป‰เบ‚เป‰เบญเบเบˆเบฐเบ›เปˆเบญเบเปƒเบซเป‰เป€เบˆเบปเป‰เบฒเบซเบฒเบเปƒเบˆ, เปเบฅเบฐเบ„เบฑเป‰เบ‡เบ•เปเปˆเป„เบ›เบžเบงเบเป€เบฎเบปเบฒเบˆเบฐเป€เบฅเบตเปˆเบกเป€เบšเบดเปˆเบ‡เบ•เบปเบงเบขเปˆเบฒเบ‡เบ—เบตเปˆเปเบ—เป‰เบˆเบดเบ‡เบ‚เบญเบ‡เบเบฒเบ™เป‚เบˆเบกเบ•เบตเป‚เบ”เบเปƒเบŠเป‰ malware เบ—เบตเปˆเบšเปเปˆเบกเบตเป„เบŸเบฅเปŒเป‚เบ”เบเบšเปเปˆเบกเบตเบ„เปเบฒเปเบ™เบฐเบ™เปเบฒเบซเบผเบทเบเบฒเบ™เบเบฐเบเบฝเบกเบ—เบตเปˆเบšเปเปˆเบˆเปเบฒเป€เบ›เบฑเบ™.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: www.habr.com

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™