Miaraka amin'ity lahatsoratra ity dia manomboka andiana famoahana momba ny malware saro-pady izahay. Ny programa fijirika tsy misy rakitra, fantatra amin'ny anarana hoe programa fijirika tsy misy rakitra, dia matetika mampiasa PowerShell amin'ny rafitra Windows mba hampandeha mangina baiko hikaroka sy haka votoaty sarobidy. Asa sarotra ny mamantatra ny hetsika hacker tsy misy rakitra maloto, satria... antiviruses sy rafitra fitiliana maro hafa dia miasa mifototra amin'ny fanadihadiana sonia. Saingy ny vaovao tsara dia misy ny rindrambaiko toy izany. Ohatra, , afaka mamantatra hetsika maloto amin'ny rafi-drakitra.
Raha vao nanomboka nikaroka ny lohahevitra momba ny hackers ratsy aho, , fa ny fitaovana sy logiciel hita ao amin'ny solosain'ilay niharam-boina ihany, dia tsy nanana hevitra aho fa tsy ho ela dia ho lasa fomba fanafihana malaza izany. Security Professionals fa lasa fironana izany, ary - fanamafisana izany. Noho izany, nanapa-kevitra ny hanao andian-dahatsoratra momba an'io lohahevitra io aho.
Ny PowerShell Lehibe sy Mahery
Efa nanoratra momba ny sasany amin'ireo hevitra ireo aho taloha , fa mifototra kokoa amin'ny foto-kevitra teorika. Taty aoriana dia sendra aho , izay ahitanao santionany amin'ny malware "voasambotra" any anaty ala. Nanapa-kevitra ny hanandrana hampiasa ity tranokala ity aho mba hahitana santionan'ny malware tsy misy rakitra. Dia tafita aho. Raha ny marina, raha te handeha amin'ny dianao fihazana malware ianao dia tsy maintsy hohamarinin'ity tranokala ity mba hahafantaran'izy ireo fa manao ny asa ianao amin'ny maha manam-pahaizana manokana momba ny satroka fotsy. Amin'ny maha-bilaogera fiarovana ahy dia nandalo izany tsy nisy fanontaniana aho. Azoko antoka fa afaka koa ianao.
Ho fanampin'ny santionany ihany, ao amin'ny tranokala dia azonao jerena ny ataon'ireo programa ireo. Ny famakafakana hybrida dia mampandeha malware ao amin'ny sandbox-ny manokana ary manara-maso ny antson'ny rafitra, ny fizotran'ny hetsika ary ny hetsika amin'ny tambajotra, ary manala ireo tady lahatsoratra mampiahiahy. Ho an'ny binary sy rakitra hafa azo tanterahana, i.e. izay tsy azonao jerena akory ny kaody avo lenta tena izy, ny famakafakana hybrid dia manapa-kevitra raha masiaka na mampiahiahy fotsiny ilay logiciel mifototra amin'ny hetsika fampandehanana azy. Ary rehefa afaka izany dia efa tombanana ny santionany.
Raha ny momba ny PowerShell sy ny script santionany hafa (Visual Basic, JavaScript, sns.), dia afaka nahita ny code mihitsy aho. Ohatra, nahita ity ohatra PowerShell ity aho:
Azonao atao ihany koa ny mampandeha PowerShell amin'ny base64 encoding mba hisorohana ny fisavana. Mariho ny fampiasana masontsivana Noninteractive sy Hidden.
Raha namaky ny lahatsoratro momba ny obfuscation ianao, dia fantatrao fa ny safidy -e dia mamaritra fa ny atiny dia base64 voakodia. Raha ny tokony ho izy, ny fanadihadiana hybrid dia manampy amin'izany amin'ny alàlan'ny fanodinana ny zava-drehetra miverina. Raha te hanandrana decoding base64 PowerShell (antsoina hoe PS) ianao dia mila manatanteraka ity baiko ity:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Mandehana lalindalina kokoa
Namadika ny script PS-nay aho tamin'ny fampiasana an'io fomba io, eto ambany ny lahatsoratry ny programa, na dia novana kely aza aho:
Mariho fa ny script dia mifamatotra amin'ny datin'ny 4 septambra 2017 ary nandefa cookies session.
Nanoratra momba ity fomba fanafihana ity aho , izay misy ny script voahodina base64 mihitsy Nanjavona malware avy amin'ny tranokala hafa, mampiasa ny zavatra WebClient an'ny tranomboky .Net Framework mba hanaovana ilay asa mavesatra.
Inona no atao?
Ho an'ny lozisialy fiarovana manara-maso ny diarin'ny hetsika Windows na ny firewall, ny coding base64 dia manakana ny tady "WebClient" tsy ho hitan'ny lamina lahatsoratra tsotra mba hiarovana amin'ny fangatahana tranonkala toy izany. Ary satria ny "ratsy" rehetra amin'ny malware dia alaina avy eo ary ampidirina ao amin'ny PowerShell, izany fomba izany dia mamela antsika hiala tanteraka amin'ny fisavana. Na ny marina dia izay no noheveriko tamin'ny voalohany.
Hita fa rehefa mandeha ny Windows PowerShell Advanced Logging (jereo ny lahatsoratro), dia ho hitanao ny tsipika voarakitra ao amin'ny diarin'ny hetsika. Toy ny aho ) Heveriko fa tokony hamela an'io haavon'ny logging io amin'ny alàlan'ny default i Microsoft. Noho izany, miaraka amin'ny fampandehanana ny firaketana an-tsoratra, dia ho hitantsika ao amin'ny lisitry ny hetsika Windows ny fangatahana fampidinana feno avy amin'ny script PS araka ny ohatra noresahintsika etsy ambony. Noho izany, misy dikany ny manetsika azy, tsy manaiky ve ianao?
Andeha isika hanampy scenario fanampiny
Manafina amim-pahakingana ny fanafihana PowerShell amin'ny macros Microsoft Office nosoratana tamin'ny Visual Basic sy fiteny fanoratana hafa ny hackers. Ny hevitra dia hoe mahazo hafatra ilay niharam-boina, ohatra, avy amin'ny serivisy fanaterana, miaraka amin'ny tatitra mipetaka amin'ny endrika .doc. Sokafy ity antontan-taratasy misy ny macro ity ianao, ary miafara amin'ny famoahana ny PowerShell ratsy fanahy.
Matetika ny script Visual Basic mihitsy no voasakantsakan'izy ireo mba hialany malalaka amin'ny antivirus sy scanner malware hafa. Amin'ny toe-tsaina voalaza etsy ambony, dia nanapa-kevitra ny hanoratra ny PowerShell etsy ambony amin'ny JavaScript aho ho fanazaran-tena. Ireto ambany ireto ny vokatry ny asako:
Obfuscated JavaScript manafina ny PowerShell. Ny tena mpijirika dia manao izany indray mandeha na indroa.
Ity dia teknika iray hafa hitako mitsingevana manerana ny tranonkala: mampiasa Wscript.Shell hampandehanana PowerShell misy code. Raha ny marina, ny JavaScript mihitsy fandefasana malware. Ny dikan-Windows maro dia efa namboarina , izay afaka mihazakazaka JS.
Amin'ity tranga ity, ny script JS ratsy dia tafiditra ao anaty rakitra miaraka amin'ny fanitarana .doc.js. Ny tovana voalohany ihany no asehon'ny Windows, ka ho toy ny antontan-taratasy Word no hiseho amin'ilay niharam-boina.
Ny kisary JS dia hita ao amin'ny kisary horonana ihany. Tsy mahagaga raha maro ny olona hanokatra ity attache ity amin'ny fiheverana fa antontan-taratasy Word.
Amin'ny ohatra nataoko dia nanova ny PowerShell etsy ambony aho mba hisintonana ny script avy amin'ny tranokalako. Ny script PS lavitra dia manonta "Evil Malware". Araka ny hitanao dia tsy ratsy mihitsy izy. Mazava ho azy fa ny tena mpijirika dia liana amin'ny fidirana amin'ny solosaina finday na mpizara, ohatra, amin'ny alàlan'ny baiko baiko. Amin'ny lahatsoratra manaraka, hasehoko anao ny fomba hanaovana izany amin'ny fampiasana PowerShell Empire.
Manantena aho fa ho an'ny lahatsoratra fampidirana voalohany dia tsy niditra lalina loatra tamin'ny lohahevitra isika. Avelako haka aina ianao izao, ary amin'ny manaraka dia hanomboka hijery ohatra tena izy amin'ny fanafihana mampiasa malware tsy misy rakitra tsy misy teny fampidirana na fiomanana tsy ilaina.
Source: www.habr.com