Энэ нийтлэлээр бид баригдашгүй хортой програмын тухай цуврал нийтлэлийг эхлүүлж байна. Файлгүй хакердах программ гэж нэрлэгддэг файлгүй хакердах программууд нь Windows систем дээрх PowerShell программыг ашиглан үнэ цэнэтэй контент хайх, задлах командуудыг чимээгүйхэн ажиллуулдаг. Хортой файлгүйгээр хакерын үйл ажиллагааг илрүүлэх нь хэцүү ажил юм, учир нь... вирусны эсрэг болон бусад олон илрүүлэх системүүд гарын үсгийн шинжилгээнд тулгуурлан ажилладаг. Гэхдээ сайн мэдээ гэвэл ийм програм хангамж байдаг. Жишээлбэл, , файлын систем дэх хортой үйл ажиллагааг илрүүлэх чадвартай.
Би анх муу хакеруудын сэдвийг судалж эхлэхэд, , гэхдээ зөвхөн хохирогчийн компьютер дээр байгаа багаж хэрэгсэл, программ хангамжийг ашиглах боломжтой байсан тул энэ нь удахгүй халдлага хийх түгээмэл арга болно гэж би төсөөлөөгүй. Аюулгүй байдлын мэргэжилтнүүд энэ нь чиг хандлага болж байна гэж, мөн - үүнийг батлах. Тиймээс би энэ сэдвээр цуврал нийтлэл гаргахаар шийдсэн.
Агуу, хүчирхэг PowerShell
Би эдгээр санаануудын заримыг өмнө нь бичиж байсан , гэхдээ илүү онолын үзэл баримтлалд тулгуурласан. Сүүлд нь таарсан , эндээс та зэрлэг байгальд "барьсан" хортой програмын дээжийг олох боломжтой. Би энэ сайтыг ашиглан файлгүй хортой програмын дээжийг хайж олохоор шийдсэн. Тэгээд би амжилтанд хүрсэн. Дашрамд хэлэхэд, хэрэв та өөрийн хорлонтой программыг агнах экспедицид оролцохыг хүсвэл энэ сайтаас баталгаажсан байх ёстой бөгөөд ингэснээр тэд таныг цагаан малгайт мэргэжилтний ажлыг хийж байгаа гэдгээ мэдэх болно. Аюулгүй байдлын блог хөтлөгчийн хувьд би үүнийг ямар ч эргэлзээгүйгээр дамжуулсан. Та ч бас чадна гэдэгт итгэлтэй байна.
Дээжээс гадна сайт дээр эдгээр програмууд юу хийж байгааг харж болно. Гибрид шинжилгээ нь хортой програмыг өөрийн хамгаалагдсан хязгаарлагдмал орчинд ажиллуулж, системийн дуудлага, ажиллаж байгаа процессууд болон сүлжээний үйл ажиллагааг хянаж, сэжигтэй текст мөрүүдийг задалдаг. Хоёртын файлууд болон бусад гүйцэтгэгдэх файлуудын хувьд, i.e. Хэрэв та жинхэнэ дээд түвшний кодыг харж чадахгүй байгаа бол эрлийз шинжилгээ нь програм хангамжийг ажиллуулах үеийн үйл ажиллагаанд үндэслэн хортой эсвэл зүгээр л сэжигтэй эсэхийг шийддэг. Үүний дараа дээжийг аль хэдийн үнэлэв.
PowerShell болон бусад жишээ скриптүүдийн хувьд (Visual Basic, JavaScript гэх мэт) би кодыг өөрөө харах боломжтой болсон. Жишээлбэл, би энэ PowerShell жишээтэй танилцсан:
Та илрүүлэхээс зайлсхийхийн тулд PowerShell-ийг base64 кодчилол дээр ажиллуулж болно. Интерактив бус ба Далд параметрүүдийг ашиглахыг анхаарна уу.
Хэрэв та миний төөрөгдлийн талаархи нийтлэлүүдийг уншсан бол -e сонголт нь агуулга нь base64 кодлогдсон гэдгийг зааж өгдөг гэдгийг та мэднэ. Дашрамд хэлэхэд эрлийз шинжилгээ нь бүх зүйлийг буцааж тайлах замаар тусалдаг. Хэрэв та base64 PowerShell (цаашид PS гэх) кодыг өөрөө тайлж үзэхийг хүсвэл дараах тушаалыг ажиллуулах хэрэгтэй:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Илүү гүнзгийрээрэй
Би энэ аргыг ашиглан PS скриптийнхээ кодыг тайлсан бөгөөд миний бага зэрэг өөрчилсөн програмын текстийг доор харуулав.
Скриптийг 4 оны 2017-р сарын XNUMX-ний өдөртэй холбож, сессийн күүкиг дамжуулсан болохыг анхаарна уу.
Би энэ төрлийн довтолгооны талаар бичсэн , үүнд base64 кодлогдсон скрипт өөрөө ачаалагддаг алга .Net Framework номын сангийн WebClient объектыг ашиглан хүнд ачааг өргөхдөө өөр сайтын хортой програм.
Энэ нь юу хийдэг вэ?
Windows үйл явдлын бүртгэл эсвэл галт ханыг сканнердах аюулгүй байдлын програм хангамжийн хувьд base64 кодчилол нь ийм вэб хүсэлт гаргахаас хамгаалах үүднээс "WebClient" мөрийг энгийн текстийн загвараар илрүүлэхээс сэргийлдэг. Хортой програмын бүх "муу" зүйлийг татаж аваад манай PowerShell-д шилжүүлдэг тул энэ арга нь биднийг илрүүлэхээс бүрэн зайлсхийх боломжийг олгодог. Өөрөөр хэлбэл, би анх ингэж бодож байсан.
Windows PowerShell Advanced Logging идэвхжсэн үед (миний нийтлэлийг үзнэ үү) та үйл явдлын бүртгэлээс ачаалагдсан мөрийг харах боломжтой болж байна. би шиг байна ) Майкрософт энэ түвшний бүртгэлийг анхдагчаар идэвхжүүлэх ёстой гэж би бодож байна. Тиймээс, өргөтгөсөн бүртгэлийг идэвхжүүлсэн үед бид дээр дурдсан жишээний дагуу PS скриптээс татаж авсан бөглөсөн хүсэлтийг Windows үйл явдлын бүртгэлээс харах болно. Тиймээс үүнийг идэвхжүүлэх нь зүйтэй болов уу, та санал нийлэхгүй байна уу?
Нэмэлт хувилбаруудыг оруулъя
Хакерууд PowerShell-ийн халдлагыг Visual Basic болон бусад скрипт хэл дээр бичигдсэн Microsoft Office-ын макронууд дээр ухаалгаар нуудаг. Үүний санаа нь хохирогч .doc форматтай хавсаргасан тайлангийн хамт хүргэх үйлчилгээнээс мессеж хүлээн авдаг. Та макро агуулсан энэ баримт бичгийг нээвэл энэ нь өөрөө хортой PowerShell-г эхлүүлнэ.
Ихэнхдээ Visual Basic скрипт нь өөрөө бүрхэг байдаг тул вирусны эсрэг болон бусад хортой програм сканнеруудаас чөлөөтэй зайлсхийдэг. Дээр дурдсан зүйлсийн үүднээс би дээрх PowerShell-ийг JavaScript дээр дасгал болгон кодлохоор шийдсэн. Миний ажлын үр дүнг доор харуулав.
Бидний PowerShell-ийг нууж буй бүдэгрүүлсэн JavaScript. Жинхэнэ хакерууд үүнийг нэг юмуу хоёр удаа хийдэг.
Энэ бол вэб дээр хөвж байхыг миний харсан өөр нэг арга: кодлогдсон PowerShell-ийг ажиллуулахын тулд Wscript.Shell-ийг ашиглах. Дашрамд хэлэхэд, JavaScript өөрөө юм хортой програм хангамжийг хүргэх. Windows-ийн олон хувилбарт суулгагдсан байдаг , энэ нь өөрөө JS-г ажиллуулж чаддаг.
Манай тохиолдолд хортой JS скрипт нь .doc.js өргөтгөлтэй файл хэлбэрээр суулгагдсан байдаг. Windows ихэвчлэн зөвхөн эхний дагаварыг харуулах тул хохирогчдод Word баримт шиг харагдах болно.
JS дүрс нь зөвхөн гүйлгэх дүрс дээр харагдана. Олон хүмүүс энэ хавсралтыг Word баримт гэж бодоод нээх нь гайхах зүйл биш юм.
Миний жишээн дээр би скриптийг вэбсайтаасаа татаж авахын тулд дээрх PowerShell-ийг өөрчилсөн. Алсын PS скрипт нь "Evil Malware"-г хэвлэдэг. Таны харж байгаагаар тэр муу хүн биш юм. Мэдээжийн хэрэг, жинхэнэ хакерууд командын бүрхүүлээр дамжуулан зөөврийн компьютер эсвэл серверт хандах сонирхолтой байдаг. Дараагийн өгүүллээр би PowerShell Empire ашиглан үүнийг хэрхэн хийхийг харуулах болно.
Анхны танилцуулга нийтлэлдээ бид энэ сэдвийг хэт гүнзгийрүүлээгүй гэж найдаж байна. Одоо би танд амьсгалахыг зөвшөөрч, дараагийн удаад бид ямар ч шаардлагагүй танилцуулга үг, бэлтгэлгүйгээр файлгүй хортой програм ашиглан халдлагын бодит жишээг үзэж эхлэх болно.
Эх сурвалж: www.habr.com