Энэ нийтлэлээр бид баригдашгүй хортой програмын тухай цуврал нийтлэлийг эхлүүлж байна. Файлгүй хакердах программ гэж нэрлэгддэг файлгүй хакердах программууд нь Windows систем дээрх PowerShell программыг ашиглан үнэ цэнэтэй контент хайх, задлах командуудыг чимээгүйхэн ажиллуулдаг. Хортой файлгүйгээр хакерын үйл ажиллагааг илрүүлэх нь хэцүү ажил юм, учир нь... вирусны эсрэг болон бусад олон илрүүлэх системүүд гарын үсгийн шинжилгээнд тулгуурлан ажилладаг. Гэхдээ сайн мэдээ гэвэл ийм програм хангамж байдаг. Жишээлбэл,
Би анх муу хакеруудын сэдвийг судалж эхлэхэд,
Агуу, хүчирхэг PowerShell
Би эдгээр санаануудын заримыг өмнө нь бичиж байсан
Дээжээс гадна сайт дээр эдгээр програмууд юу хийж байгааг харж болно. Гибрид шинжилгээ нь хортой програмыг өөрийн хамгаалагдсан хязгаарлагдмал орчинд ажиллуулж, системийн дуудлага, ажиллаж байгаа процессууд болон сүлжээний үйл ажиллагааг хянаж, сэжигтэй текст мөрүүдийг задалдаг. Хоёртын файлууд болон бусад гүйцэтгэгдэх файлуудын хувьд, i.e. Хэрэв та жинхэнэ дээд түвшний кодыг харж чадахгүй байгаа бол эрлийз шинжилгээ нь програм хангамжийг ажиллуулах үеийн үйл ажиллагаанд үндэслэн хортой эсвэл зүгээр л сэжигтэй эсэхийг шийддэг. Үүний дараа дээжийг аль хэдийн үнэлэв.
PowerShell болон бусад жишээ скриптүүдийн хувьд (Visual Basic, JavaScript гэх мэт) би кодыг өөрөө харах боломжтой болсон. Жишээлбэл, би энэ PowerShell жишээтэй танилцсан:
Та илрүүлэхээс зайлсхийхийн тулд PowerShell-ийг base64 кодчилол дээр ажиллуулж болно. Интерактив бус ба Далд параметрүүдийг ашиглахыг анхаарна уу.
Хэрэв та миний төөрөгдлийн талаархи нийтлэлүүдийг уншсан бол -e сонголт нь агуулга нь base64 кодлогдсон гэдгийг зааж өгдөг гэдгийг та мэднэ. Дашрамд хэлэхэд эрлийз шинжилгээ нь бүх зүйлийг буцааж тайлах замаар тусалдаг. Хэрэв та base64 PowerShell (цаашид PS гэх) кодыг өөрөө тайлж үзэхийг хүсвэл дараах тушаалыг ажиллуулах хэрэгтэй:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Илүү гүнзгийрээрэй
Би энэ аргыг ашиглан PS скриптийнхээ кодыг тайлсан бөгөөд миний бага зэрэг өөрчилсөн програмын текстийг доор харуулав.
Скриптийг 4 оны 2017-р сарын XNUMX-ний өдөртэй холбож, сессийн күүкиг дамжуулсан болохыг анхаарна уу.
Би энэ төрлийн довтолгооны талаар бичсэн
Энэ нь юу хийдэг вэ?
Windows үйл явдлын бүртгэл эсвэл галт ханыг сканнердах аюулгүй байдлын програм хангамжийн хувьд base64 кодчилол нь ийм вэб хүсэлт гаргахаас хамгаалах үүднээс "WebClient" мөрийг энгийн текстийн загвараар илрүүлэхээс сэргийлдэг. Хортой програмын бүх "муу" зүйлийг татаж аваад манай PowerShell-д шилжүүлдэг тул энэ арга нь биднийг илрүүлэхээс бүрэн зайлсхийх боломжийг олгодог. Өөрөөр хэлбэл, би анх ингэж бодож байсан.
Windows PowerShell Advanced Logging идэвхжсэн үед (миний нийтлэлийг үзнэ үү) та үйл явдлын бүртгэлээс ачаалагдсан мөрийг харах боломжтой болж байна. би шиг байна
Нэмэлт хувилбаруудыг оруулъя
Хакерууд PowerShell-ийн халдлагыг Visual Basic болон бусад скрипт хэл дээр бичигдсэн Microsoft Office-ын макронууд дээр ухаалгаар нуудаг. Үүний санаа нь хохирогч .doc форматтай хавсаргасан тайлангийн хамт хүргэх үйлчилгээнээс мессеж хүлээн авдаг. Та макро агуулсан энэ баримт бичгийг нээвэл энэ нь өөрөө хортой PowerShell-г эхлүүлнэ.
Ихэнхдээ Visual Basic скрипт нь өөрөө бүрхэг байдаг тул вирусны эсрэг болон бусад хортой програм сканнеруудаас чөлөөтэй зайлсхийдэг. Дээр дурдсан зүйлсийн үүднээс би дээрх PowerShell-ийг JavaScript дээр дасгал болгон кодлохоор шийдсэн. Миний ажлын үр дүнг доор харуулав.
Бидний PowerShell-ийг нууж буй бүдэгрүүлсэн JavaScript. Жинхэнэ хакерууд үүнийг нэг юмуу хоёр удаа хийдэг.
Энэ бол вэб дээр хөвж байхыг миний харсан өөр нэг арга: кодлогдсон PowerShell-ийг ажиллуулахын тулд Wscript.Shell-ийг ашиглах. Дашрамд хэлэхэд, JavaScript өөрөө юм
Манай тохиолдолд хортой JS скрипт нь .doc.js өргөтгөлтэй файл хэлбэрээр суулгагдсан байдаг. Windows ихэвчлэн зөвхөн эхний дагаварыг харуулах тул хохирогчдод Word баримт шиг харагдах болно.
JS дүрс нь зөвхөн гүйлгэх дүрс дээр харагдана. Олон хүмүүс энэ хавсралтыг Word баримт гэж бодоод нээх нь гайхах зүйл биш юм.
Миний жишээн дээр би скриптийг вэбсайтаасаа татаж авахын тулд дээрх PowerShell-ийг өөрчилсөн. Алсын PS скрипт нь "Evil Malware"-г хэвлэдэг. Таны харж байгаагаар тэр муу хүн биш юм. Мэдээжийн хэрэг, жинхэнэ хакерууд командын бүрхүүлээр дамжуулан зөөврийн компьютер эсвэл серверт хандах сонирхолтой байдаг. Дараагийн өгүүллээр би PowerShell Empire ашиглан үүнийг хэрхэн хийхийг харуулах болно.
Анхны танилцуулга нийтлэлдээ бид энэ сэдвийг хэт гүнзгийрүүлээгүй гэж найдаж байна. Одоо би танд амьсгалахыг зөвшөөрч, дараагийн удаад бид ямар ч шаардлагагүй танилцуулга үг, бэлтгэлгүйгээр файлгүй хортой програм ашиглан халдлагын бодит жишээг үзэж эхлэх болно.
Эх сурвалж: www.habr.com