B'dan l-artikolu nibdew sensiela ta' pubblikazzjonijiet dwar il-malware elużiv. Programmi ta' hacking bla fajls, magħrufa wkoll bħala programmi ta' hacking mingħajr fajls, tipikament jużaw PowerShell fuq sistemi Windows biex imexxu kmandi fis-skiet biex ifittxu u estratt kontenut ta' valur. Is-sejbien tal-attività tal-hackers mingħajr fajls malizzjużi huwa kompitu diffiċli, għaliex... antiviruses u ħafna sistemi oħra ta' skoperta jaħdmu bbażati fuq analiżi tal-firma. Iżda l-aħbar tajba hija li tali softwer jeżisti. Pereżempju, , kapaċi jiskopri attività malizzjuża fis-sistemi tal-fajls.
Meta l-ewwel bdejt nirriċerka s-suġġett tal-hackers badass, , iżda biss l-għodod u s-softwer disponibbli fuq il-kompjuter tal-vittma, ma kelli l-ebda idea li dan dalwaqt se jsir metodu ta 'attakk popolari. Professjonisti tas-Sigurtà li din qed issir xejra, u - konferma ta' dan. Għalhekk, iddeċidejt li nagħmel sensiela ta’ pubblikazzjonijiet dwar dan is-suġġett.
Il-Kbir u Qawwija PowerShell
Jien ktibt dwar xi wħud minn dawn l-ideat qabel fi , iżda aktar ibbażata fuq kunċett teoretiku. Aktar tard iltqajt , fejn tista’ ssib kampjuni ta’ malware “maqbuda” fis-selvaġġ. Iddeċidejt li nipprova nuża dan is-sit biex insib kampjuni ta' malware bla fajl. U rnexxieli. Mill-mod, jekk trid tmur fuq l-espedizzjoni tal-kaċċa malware tiegħek stess, ikollok bżonn tiġi vverifikat minn dan is-sit sabiex ikunu jafu li qed tagħmel ix-xogħol bħala speċjalista tal-kpiepel abjad. Bħala blogger li jikteb dwar is-sigurtà, għaddaha mingħajr dubju. Jien ċert li inti tista 'wkoll.
Minbarra l-kampjuni nfushom, fuq is-sit tista 'tara x'jagħmlu dawn il-programmi. L-analiżi ibrida tħaddem il-malware fis-sandbox tagħha stess u tissorvelja s-sejħiet tas-sistema, it-tmexxija tal-proċessi u l-attività tan-netwerk, u tiġbed kordi ta’ testi suspettużi. Għal binarji u fajls eżekutibbli oħra, i.e. fejn inti lanqas biss tista 'tħares lejn il-kodiċi attwali ta' livell għoli, l-analiżi ibrida tiddeċiedi jekk is-softwer huwiex malizzjuż jew sempliċement suspettuż ibbażat fuq l-attività runtime tiegħu. U wara dan il-kampjun huwa diġà evalwat.
Fil-każ ta 'PowerShell u skripts kampjuni oħra (Visual Basic, JavaScript, eċċ.), Stajt nara l-kodiċi innifsu. Pereżempju, iltqajt ma' din l-istanza ta' PowerShell:
Tista 'wkoll tħaddem PowerShell f'kodifikazzjoni base64 biex tevita l-iskoperta. Innota l-użu ta 'parametri Noninteractive u Hidden.
Jekk qrajt il-postijiet tiegħi dwar l-obfuscation, allura taf li l-għażla -e tispeċifika li l-kontenut huwa kodifikat base64. Mill-mod, l-analiżi ibrida tgħin ukoll f'dan billi tiddekodifika kollox lura. Jekk trid tipprova tiddikodifika base64 PowerShell (minn hawn 'il quddiem imsejħa PS) lilek innifsek, għandek bżonn tmexxi dan il-kmand:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Mur aktar fil-fond
Iddekodifikajt l-iskrittura PS tagħna bl-użu ta 'dan il-metodu, hawn taħt huwa t-test tal-programm, għalkemm kemmxejn modifikat minni:
Innota li l-iskript kien marbut mad-data tal-4 ta’ Settembru 2017 u kien trażmess cookies tas-sessjoni.
Jien ktibt dwar dan l-istil ta’ attakk fi , li fiha l-iskript kodifikat base64 innifsu jgħabbi nieqsa malware minn sit ieħor, billi tuża l-oġġett WebClient tal-librerija .Net Framework biex tagħmel it-tqil.
Għalxiex?
Għas-softwer tas-sigurtà li jiskannja r-reġistri tal-avvenimenti tal-Windows jew il-firewalls, il-kodifikazzjoni base64 tipprevjeni li s-sekwenza "WebClient" tiġi skoperta minn mudell ta' test sempliċi biex jipproteġi milli ssir talba tal-web bħal din. U peress li l-"ħażen" kollu tal-malware mbagħad jitniżżel u mgħoddi fil-PowerShell tagħna, dan l-approċċ għalhekk jippermettilna nevadu kompletament l-iskoperta. Jew aħjar, hekk ħsibt għall-ewwel.
Jirriżulta li bil-Windows PowerShell Advanced Logging attivat (ara l-artiklu tiegħi), tkun tista 'tara l-linja mgħobbija fir-reġistru tal-avvenimenti. Jien simili ) Naħseb li Microsoft għandha tippermetti dan il-livell ta 'logging awtomatikament. Għalhekk, bil-logging estiż attivat, se naraw fil-ġurnal tal-avvenimenti tal-Windows talba għal tniżżil kompluta minn skript PS skont l-eżempju li ddiskutejna hawn fuq. Għalhekk, jagħmel sens li tattivah, ma taqbilx?
Ejja nżidu xenarji addizzjonali
Il-hackers jaħbu b’mod għaqli l-attakki tal-PowerShell f’makros tal-Microsoft Office miktuba bil-Visual Basic u lingwi oħra ta’ skriptjar. L-idea hi li l-vittma tirċievi messaġġ, pereżempju minn servizz ta’ konsenja, b’rapport mehmuż f’format .doc. Int tiftaħ dan id-dokument li fih il-makro, u tispiċċa tniedi l-PowerShell malizzjuż innifsu.
Spiss l-iskript Visual Basic innifsu huwa offuskat sabiex jevadi liberament antivirus u skaners malware oħra. Fl-ispirtu ta 'hawn fuq, iddeċidejt li nikkodifika l-PowerShell ta' hawn fuq f'JavaScript bħala eżerċizzju. Hawn taħt huma r-riżultati tax-xogħol tiegħi:
JavaScript moħbi jaħbi l-PowerShell tagħna. Hackers reali jagħmlu dan darba jew darbtejn.
Din hija teknika oħra li rajt f'wiċċ l-ilma madwar il-web: tuża Wscript.Shell biex tħaddem PowerShell kodifikat. Mill-mod, JavaScript innifsu huwa kunsinna ta' malware. Ħafna verżjonijiet tal-Windows għandhom inkorporati , li huwa stess jista 'jmexxi JS.
Fil-każ tagħna, l-iskrittura JS malizzjuża hija inkorporata bħala fajl bl-estensjoni .doc.js. Il-Windows tipikament juri biss l-ewwel suffiss, għalhekk jidher lill-vittma bħala dokument Word.
L-ikona JS tidher biss fl-ikona tal-iscroll. Mhuwiex sorprendenti li ħafna nies jiftħu dan l-anness billi jaħsbu li huwa dokument Word.
Fl-eżempju tiegħi, immodifikajt il-PowerShell hawn fuq biex tniżżel l-iskrittura mill-websajt tiegħi. L-iskript PS remot biss jistampa "Malware Evil". Kif tistgħu taraw, mhu ħażen xejn. Naturalment, hackers reali huma interessati li jiksbu aċċess għal laptop jew server, ngħidu aħna, permezz ta 'qoxra ta' kmand. Fl-artiklu li jmiss, ser nuruk kif tagħmel dan billi tuża PowerShell Empire.
Nittama li għall-ewwel artiklu introduttorju ma dħilniex wisq fil-fond fis-suġġett. Issa nħallik tieħu nifs, u d-darba li jmiss nibdew inħarsu lejn eżempji reali ta’ attakki li jużaw malware bla fajls mingħajr ebda kliem introduttorju jew preparazzjoni bla bżonn.
Sors: www.habr.com