Ma tenei tuhinga ka timata tatou i te raupapa o nga whakaputanga mo te kino kino. Ko nga kaupapa hacking fileless, e mohiotia ana ko nga kaupapa hacking fileless, te nuinga o te whakamahi PowerShell i runga i nga punaha Windows ki te whakahaere wahangu i nga whakahau ki te rapu me te tango i nga ihirangi utu nui. Ko te rapu i nga mahi hacker kaore he konae kino he mahi uaua, na te mea... nga antiviruses me te maha atu o nga punaha rapu e mahi ana i runga i te tātari waitohu. Engari ko te rongo pai kei te noho tonu taua momo rorohiko. Hei tauira,
I te wa tuatahi i timata ahau ki te rangahau i te kaupapa o nga kaiwhai kino,
Te PowerShell Nui me te Kaha
Kua tuhia e au etahi o enei whakaaro i mua i roto
I tua atu i nga tauira ake, i runga i te pae ka taea e koe te kite he aha enei kaupapa. Ka whakahaerehia e te tātari ranu te kino i roto i tana ake pouaka kirikiri me te aro turuki i nga waea a te punaha, te whakahaere i nga tukanga me te mahi whatunga, me te tango i nga aho kuputuhi hihira. Mo te rua me etahi atu konae ka taea te whakahaere, ara. te wahi e kore e taea e koe te titiro i te waehere taumata-tiketike tūturu, tātari ranu whakatau he kino te pūmanawa he tūpato noa i runga i tona mahi wā whakahaere. A, i muri i tera kua arotakehia te tauira.
I te take o PowerShell me etahi atu tauira tauira (Visual Basic, JavaScript, etc.), I taea e au te kite i te waehere ake. Hei tauira, i kite ahau i tenei tauira PowerShell:
Ka taea hoki e koe te whakahaere PowerShell i te whakawaehere base64 kia kore e kitea. Kia mahara ki te whakamahi i nga tawhā Noninteractive me te Huna.
Mena kua panuihia e koe aku panui mo te whakamaaramatanga, ka mohio koe ko te -e e tohu ana ko te ihirangi he base64 kua whakawaeheretia. Ma te ara, ka awhina ano te tātari ranu ki tenei ma te wetewete i nga mea katoa. Mena kei te pirangi koe ki te whakamatau i te wetewete i te base64 PowerShell (i muri nei ka kiia ko PS), me whakahaere koe i tenei whakahau:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Haere hohonu
I wetewete ahau i ta maatau tuhinga PS ma te whakamahi i tenei tikanga, kei raro nei te tuhinga o te kaupapa, ahakoa he paku whakarereke e au:
Kia mahara kua herea te tuhinga ki te ra o Mahuru 4, 2017 me te tuku pihikete wātū.
I tuhituhi ahau mo tenei ahua o te whakaeke i roto
Eaha te rave i te reira?
Mo te raupaparorohiko haumarutanga e matawai ana i nga raarangi takahanga a Windows, i nga papaahi ranei, ka aukati te whakawaehere base64 i te aho "WebClient" kia kore e kitea e tetahi tauira kuputuhi noa hei whakamarumaru i te tono penei i te paetukutuku. Na i te mea ka tangohia nga "kino" katoa o te malware ka tukuna ki roto i to tatou PowerShell, na tenei huarahi ka taea e tatou te karo i te kitenga. Engari, ko taku whakaaro i te tuatahi.
Te ahua nei kua whakahohea te Windows PowerShell Advanced Logging (tirohia taku tuhinga), ka taea e koe te kite i te raina kua utaina ki te raarangi takahanga. He rite ahau
Me taapiri etahi atu ahuatanga
Ka huna e nga kaiwhaiwhai nga whakaeke PowerShell ki nga tonotono Microsoft Office kua tuhia ki te Visual Basic me etahi atu reo tuhi. Ko te whakaaro ka whiwhi te kaipahua i tetahi karere, hei tauira mai i te ratonga tuku, me tetahi ripoata kua apitihia ki te whakatakotoranga .doc. Ka whakatuwhera koe i tenei tuhinga kei roto te tonotono, ka mutu ka whakarewahia te PowerShell kino.
I te nuinga o nga wa ka whakapouritia te tuhinga Visual Basic kia mawehe atu i te wheori me etahi atu matawai malware. I runga i te wairua o runga ake nei, i whakatau ahau ki te tohu i te PowerShell i runga ake nei ki JavaScript hei mahi. Kei raro nei nga hua o aku mahi:
Ko JavaScript kua huna e huna ana i to tatou PowerShell. Ko nga kaiwhaiwhai pono ka mahi kotahi, e rua ranei.
Ko tetahi atu tikanga tenei kua kite ahau e tere haere ana i te ipurangi: te whakamahi i te Wscript.Shell hei whakahaere i te PowerShell kua waehere. Ma te ara, ko JavaScript ano
I roto i ta maatau, ko te tuhinga JS kino kua whakauruhia hei konae me te toronga .doc.js. Ko te tikanga ka whakaatu noa a Windows i te kumuri tuatahi, no reira ka puta ki te tangata patunga hei tuhinga Word.
Ko te tohu JS anake ka puta i te ata panuku. Ehara i te mea miharo he maha nga tangata ka whakatuwhera i tenei taapiri ki te whakaaro he tuhinga Word.
I taku tauira, i whakarereketia e ahau te PowerShell i runga ake nei hei tango i te tuhinga mai i taku paetukutuku. Ko te tuhinga PS mamao ka tuhi noa i "Evil Malware". Ka kite koe, ehara ia i te mea kino. Ko te tikanga, kei te pirangi nga kaiwhaiwhai pono ki te uru atu ki te pona, ki te tūmau ranei, me kii, ma te anga whakahau. I roto i te tuhinga e whai ake nei, ka whakaatu ahau ki a koe me pehea te mahi ma te whakamahi i te PowerShell Empire.
Ko taku tumanako mo te tuhinga whakataki tuatahi kaore matou i ruku hohonu ki te kaupapa. Inaianei ka tuku manawa ahau ki a koe, a ka timata tatou ki te titiro ki nga tauira pono o nga whakaeke ma te whakamahi i te malware kore konae kaore he kupu whakataki, he whakaritenga ranei.
Source: will.com