Miaraka amin'ity lahatsoratra ity dia manomboka andiana famoahana momba ny malware saro-pady izahay. Ny programa fijirika tsy misy rakitra, fantatra amin'ny anarana hoe programa fijirika tsy misy rakitra, dia matetika mampiasa PowerShell amin'ny rafitra Windows mba hampandeha mangina baiko hikaroka sy haka votoaty sarobidy. Asa sarotra ny mamantatra ny hetsika hacker tsy misy rakitra maloto, satria... antiviruses sy rafitra fitiliana maro hafa dia miasa mifototra amin'ny fanadihadiana sonia. Saingy ny vaovao tsara dia misy ny rindrambaiko toy izany. Ohatra,
Raha vao nanomboka nikaroka ny lohahevitra momba ny hackers ratsy aho,
Ny PowerShell Lehibe sy Mahery
Efa nanoratra momba ny sasany amin'ireo hevitra ireo aho taloha
Ho fanampin'ny santionany ihany, ao amin'ny tranokala dia azonao jerena ny ataon'ireo programa ireo. Ny famakafakana hybrida dia mampandeha malware ao amin'ny sandbox-ny manokana ary manara-maso ny antson'ny rafitra, ny fizotran'ny hetsika ary ny hetsika amin'ny tambajotra, ary manala ireo tady lahatsoratra mampiahiahy. Ho an'ny binary sy rakitra hafa azo tanterahana, i.e. izay tsy azonao jerena akory ny kaody avo lenta tena izy, ny famakafakana hybrid dia manapa-kevitra raha masiaka na mampiahiahy fotsiny ilay logiciel mifototra amin'ny hetsika fampandehanana azy. Ary rehefa afaka izany dia efa tombanana ny santionany.
Raha ny momba ny PowerShell sy ny script santionany hafa (Visual Basic, JavaScript, sns.), dia afaka nahita ny code mihitsy aho. Ohatra, nahita ity ohatra PowerShell ity aho:
Azonao atao ihany koa ny mampandeha PowerShell amin'ny base64 encoding mba hisorohana ny fisavana. Mariho ny fampiasana masontsivana Noninteractive sy Hidden.
Raha namaky ny lahatsoratro momba ny obfuscation ianao, dia fantatrao fa ny safidy -e dia mamaritra fa ny atiny dia base64 voakodia. Raha ny tokony ho izy, ny fanadihadiana hybrid dia manampy amin'izany amin'ny alàlan'ny fanodinana ny zava-drehetra miverina. Raha te hanandrana decoding base64 PowerShell (antsoina hoe PS) ianao dia mila manatanteraka ity baiko ity:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Mandehana lalindalina kokoa
Namadika ny script PS-nay aho tamin'ny fampiasana an'io fomba io, eto ambany ny lahatsoratry ny programa, na dia novana kely aza aho:
Mariho fa ny script dia mifamatotra amin'ny datin'ny 4 septambra 2017 ary nandefa cookies session.
Nanoratra momba ity fomba fanafihana ity aho
Inona no atao?
Ho an'ny lozisialy fiarovana manara-maso ny diarin'ny hetsika Windows na ny firewall, ny coding base64 dia manakana ny tady "WebClient" tsy ho hitan'ny lamina lahatsoratra tsotra mba hiarovana amin'ny fangatahana tranonkala toy izany. Ary satria ny "ratsy" rehetra amin'ny malware dia alaina avy eo ary ampidirina ao amin'ny PowerShell, izany fomba izany dia mamela antsika hiala tanteraka amin'ny fisavana. Na ny marina dia izay no noheveriko tamin'ny voalohany.
Hita fa rehefa mandeha ny Windows PowerShell Advanced Logging (jereo ny lahatsoratro), dia ho hitanao ny tsipika voarakitra ao amin'ny diarin'ny hetsika. Toy ny aho
Andeha isika hanampy scenario fanampiny
Manafina amim-pahakingana ny fanafihana PowerShell amin'ny macros Microsoft Office nosoratana tamin'ny Visual Basic sy fiteny fanoratana hafa ny hackers. Ny hevitra dia hoe mahazo hafatra ilay niharam-boina, ohatra, avy amin'ny serivisy fanaterana, miaraka amin'ny tatitra mipetaka amin'ny endrika .doc. Sokafy ity antontan-taratasy misy ny macro ity ianao, ary miafara amin'ny famoahana ny PowerShell ratsy fanahy.
Matetika ny script Visual Basic mihitsy no voasakantsakan'izy ireo mba hialany malalaka amin'ny antivirus sy scanner malware hafa. Amin'ny toe-tsaina voalaza etsy ambony, dia nanapa-kevitra ny hanoratra ny PowerShell etsy ambony amin'ny JavaScript aho ho fanazaran-tena. Ireto ambany ireto ny vokatry ny asako:
Obfuscated JavaScript manafina ny PowerShell. Ny tena mpijirika dia manao izany indray mandeha na indroa.
Ity dia teknika iray hafa hitako mitsingevana manerana ny tranonkala: mampiasa Wscript.Shell hampandehanana PowerShell misy code. Raha ny marina, ny JavaScript mihitsy
Amin'ity tranga ity, ny script JS ratsy dia tafiditra ao anaty rakitra miaraka amin'ny fanitarana .doc.js. Ny tovana voalohany ihany no asehon'ny Windows, ka ho toy ny antontan-taratasy Word no hiseho amin'ilay niharam-boina.
Ny kisary JS dia hita ao amin'ny kisary horonana ihany. Tsy mahagaga raha maro ny olona hanokatra ity attache ity amin'ny fiheverana fa antontan-taratasy Word.
Amin'ny ohatra nataoko dia nanova ny PowerShell etsy ambony aho mba hisintonana ny script avy amin'ny tranokalako. Ny script PS lavitra dia manonta "Evil Malware". Araka ny hitanao dia tsy ratsy mihitsy izy. Mazava ho azy fa ny tena mpijirika dia liana amin'ny fidirana amin'ny solosaina finday na mpizara, ohatra, amin'ny alàlan'ny baiko baiko. Amin'ny lahatsoratra manaraka, hasehoko anao ny fomba hanaovana izany amin'ny fampiasana PowerShell Empire.
Manantena aho fa ho an'ny lahatsoratra fampidirana voalohany dia tsy niditra lalina loatra tamin'ny lohahevitra isika. Avelako haka aina ianao izao, ary amin'ny manaraka dia hanomboka hijery ohatra tena izy amin'ny fanafihana mampiasa malware tsy misy rakitra tsy misy teny fampidirana na fiomanana tsy ilaina.
Source: www.habr.com