á€áá±á¬ááºážáá«ážááŒáá·áº ááœá±á·ááá²áá±á¬ malware áá»á¬ážá¡ááŒá±á¬ááºáž áá¯ááºáá±ááŸá¯áá»á¬áž áááºááá¯ááºá
áááºáá«áááºá ááá¯ááºáá²á·áááºáá¬áááá¯ááááºáá»á¬ážáá¯áááºážááááŒáá±á¬ ááá¯ááºáá²á·áááºáá¬áááá¯ááááºáá»á¬ážááẠá¡áá»á¬ážá¡á¬ážááŒáá·áº á¡ááá¯ážáááºá¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááá¯ááŸá¬ááœá±áááºááŸáá·áº áá¯ááºáá°áááºá¡ááœáẠá¡áááá·áºáá»á¬ážááᯠááááºáááááºáá¯ááºáá±á¬ááºááẠWindows á
áá
áºáá»á¬ážááœáẠPowerShell ááá¯á¡áá¯á¶ážááŒá¯áááºá á¡áá¹ááá¬ááºááŸááá±á¬ ááá¯ááºáá»á¬ážááá«áá² áááºáá¬á áá¯ááºáá±á¬ááºáá»ááºááᯠááŸá¬ááœá±ááŒááºážááẠáááºáá²áá±á¬ á¡áá¯ááºááŒá
áºáá±á¬ááŒá±á¬áá·áº ... ááá¯ááºážáááºá
áºááá¯ááºáá»ááºáá±ážááŸáá·áº á¡ááŒá¬ážáá±á¬ áá±á¬ááºááŸááºážááŸá¯á
áá
áºáá»á¬ážá
áœá¬ááẠáááºááŸááºááœá²ááŒááºážá
áááºááŒá¬ááŸá¯á¡áá±á«áº á¡ááŒá±áá¶á á¡áá¯ááºáá¯ááºáá«áááºá áá«áá±ááá·áº ááááºážáá±á¬ááºážááá±á¬á· áá®ááá¯áá±á¬á·ááºáá²ááºááœá± áá«ááŸááá«áááºá á¥ááá¬á¡á¬ážááŒááºá·,
badass áááºáá¬ááœá±áá²á· áá±á«ááºážá
ááºááᯠááááá¯á¶áž á
áá±á·áá¬áá¯ááºážáá
ááŒá®ážááŒááºááŒá®áž á¡á áœááºážáááºáá±á¬ PowerShell
áá®á¡ááœá±ážá¡ááŒááºááá»áá¯á·ááᯠáá»áœááºáá±á¬áº á¡áááºá áá±ážáá²á·áá°ážáááºá
ááá°áá¬áá»á¬ážá¡ááŒááºá á€áááá¯ááááºáá»á¬ážáá¬áá¯ááºáááºááᯠsite áá±á«áºááœááºáááºááŒáá·áºááŸá¯ááá¯ááºáááºá ááá¯ááºááá áºááœá²ááŒááºážá áááºááŒá¬ááŸá¯ááẠáááºážáááá¯ááºááá¯áẠsandbox ááœáẠmalware ááá¯áá¯ááºáá±á¬ááºááŒá®áž á áá áºáá±á«áºááá¯ááŸá¯áá»á¬ážá áá¯ááºáá±á¬ááºáá±ááá·áº áá¯ááºáááºážá ááºáá»á¬ážááŸáá·áº ááœááºáááºáá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠá á±á¬áá·áºááŒáá·áºáᬠáá¶ááááŒá áºááœááºá á¬áá¬ážááŒáá¯ážáá»á¬ážááᯠáá¯ááºáá°áááºá binaries ááŸáá·áº á¡ááŒá¬ážáá±á¬ executable files áá»á¬ážá¡ááœááºá i.e. áááá·áºá¡ááá·áºááŒáá·áºáá¯ááºááᯠáááŒáá·áºááá¯ááºáá²á áá±á¬á·ááºáá²ááẠáááºážá runtime áá¯ááºáá±á¬ááºáá»ááºá¡áá±á«áº á¡ááŒá±áá¶á á¡áá¹ááá¬ááºááŸáááŒááºážááŸáá ááá¯á·áá±á¬áẠááá°áá¬ááᯠá¡áá²ááŒááºááŒá®ážááŒá áºáááºá
PowerShell ááŸáá·áº á¡ááŒá¬ážááá°áᬠscript áá»á¬áž (Visual Basic, JavaScript, etc.) ááœááºá áá»áœááºá¯ááºááẠcode ááᯠááá¯ááºááá¯ááºááŒááºááá¯ááºáá²á·áá«áááºá á¥ááá¬á¡á¬ážááŒáá·áºá áá»áœááºá¯ááºááẠဠPowerShell á¥ááá¬ááᯠááœá±á·áááº-
áá±á¬ááºááŸááºážááŒááºážááŸááŸá±á¬ááºááŸá¬ážááẠPowerShell ááᯠbase64 áá¯ááºáá¶áá«ááºááŒáá·áºáááºáž áá¯ááºáá±á¬ááºááá¯ááºáááºá Non interactive ááŸáá·áº Hidden parameters áá»á¬ážá¡áá¯á¶ážááŒá¯ááŒááºážááᯠáááááŒá¯áá«á
ááŸá¯ááºááŸááºáááºáá±áá±á¬ áá»áœááºá¯ááºá ááá¯á·á áºáá»á¬ážááᯠáááºáááºááŒá®ážáá«áá -e ááœá±ážáá»ááºááŸá¯ááẠá¡ááŒá±á¬ááºážá¡áá¬ááẠbase64 áá¯ááºááŒáá·áº áá±á¬áºááŒáááºááᯠáááºáááá«áááºá á áá¬ážáá ááºá ááá¯ááºááá áºááœá²ááŒááºážá áááºááŒá¬ááŸá¯áááºáááºáž á¡áá¬á¡á¬ážáá¯á¶ážááᯠááŒááºáá¯ááºáá¯ááºááŒááºážááŒáá·áº áááºážááá¯áá°áá®áááºá á¡áááºá áááºááẠbase64 PowerShell (ááá¯áá±á¬ááºááá¯ááºážááœáẠPS áá¯áááºááœáŸááºážáááº) ááá¯áááºááá¯ááºááá¯ááºáá¯ááºááœá²áááºááŒáá¯ážá á¬ážááá¯áá«áá áááºáááºá€ command ááᯠrun áááºááá¯á¡ááºáááº-
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
áááºáá²ááœá¬ážáá«á
áá»áœááºá¯ááºááá¯á·á PS script ááᯠá€áááºážáááºážááᯠá¡áá¯á¶ážááŒá¯á áá¯ááºá¡ááŸááºá¡áá¬ážááŒá¯áá¬ážáááºá áá»áœááºá¯ááºá០á¡áááºážááẠááŒá¯ááŒááºáá¬ážáá±á¬áºáááºáž á¡á±á¬ááºááœáẠáááá¯ááááºá á á¬áá¬ážááŒá áºáá«áááºá
áá¬ááºááœáŸááºážááᯠá ááºáááºáᬠ4 áááºá 2017 áááºá áœá²ááŸáá·áº áá»áááºáááºáá¬ážááŒá®áž á ááºááŸááºááœááºáá®ážáá»á¬ážááᯠáá±ážááá¯á·áá¬ážááŒá±á¬ááºáž áááááŒá¯áá«á
áá®ááá¯ááºááá¯ááºááŸá¯áá¯á¶á
á¶á¡ááŒá±á¬ááºáž áá±ážáá¬ážáááºá
áá«ááŒá±á¬ááºá·á¡áááºááá¯á·ááŒá¯ááá«ááááºáž?
Windows ááŒá áºáááºááŸááºáááºážáá»á¬áž ááá¯á·ááá¯áẠfirewalls áá»á¬ážááᯠá áááºááºáááºááŒááºážá¡ááœáẠáá¯á¶ááŒá¯á¶áá±ážáá±á¬á·ááºáá²á¡ááœááºá base64 áá¯ááºáá¯ááºááẠááá¯áá²á·ááá¯á·áá±á¬ áááºáá±á¬ááºážááá¯ááŸá¯áá áºáá¯ááᯠááŒá¯áá¯ááºááŒááºážá០áá¬ááœááºáááºá¡ááœáẠááá¯ážááŸááºážáá±á¬á á¬áá¬ážáá¯á¶á á¶ááŒáá·áº string "WebClient" ááᯠááœá±á·ááŸáááŒááºážá០áá¬ážáá®ážáá±ážáá«áááºá Malware á "ááá±á¬ááºážáá±á¬" á¡á¬ážáá¯á¶ážááᯠáá±á«ááºážáá¯ááºáá¯ááºááŒá®áž áá»áœááºá¯ááºááá¯á·á PowerShell áá²ááá¯á· áá±á¬ááºááœá¬ážáá±á¬ááŒá±á¬áá·áºá á€áááºážáááºážááẠáá»áœááºá¯ááºááá¯á·á¡á¬áž áá±á¬ááºááŸááºážááŸá¯ááᯠáá¯á¶ážáááŸá±á¬ááºááœáŸá²ááá¯ááºá á±áá«áááºá áá«á០ááá¯áẠáá«á á¡á áá¯ááºážá áá«áááºáá²á·áá¬á
Windows PowerShell Advanced Logging ááá¯ááœáá·áºáá¬ážááŒááºážááŒáá·áº (áá»áœááºá¯ááºááá±á¬ááºážáá«ážááá¯ááŒáá·áºáá«) ááẠevent log ááœáẠloaded line ááá¯ááœá±á·ááŒááºááá¯ááºáááºááŒá
áºáá«áááºá áá«ááŒáá¯ááºáááºá
áááºáá±á¬ááºážá¡ááŒá±á¡áá±áá»á¬ážááᯠááá·áºááŒáá·áºáá¡á±á¬ááº
áááºáá¬áá»á¬ážááẠVisual Basic ááŸáá·áº á¡ááŒá¬ážáá±á¬ scripting languages ââáá»á¬ážááŒáá·áº áá±ážáá¬ážáá¬ážáá±á¬ Microsoft Office áááºáááá¯áá»á¬ážááœáẠPowerShell ááá¯ááºááá¯ááºááŸá¯áá»á¬ážááᯠáá«ážáá«ážáááºááẠááŸááºáá¬ážáááºá á¡áá°á¡áááŸá¬ .doc áá±á¬áºáááºááŒáá·áº áá°ážááœá²áá«ááŸááá±á¬ á¡á á®áááºáá¶á á¬áá áºáá¯ááŸáá·áºá¡áá° á¥ááá¬á¡á¬ážááŒáá·áº áá¬ážáá±á¬ááºááẠáá±ážááá¯á·ááŒááºážáááºáá±á¬ááºááŸá¯á០áááºáá±á·áá»áºááᯠáááºáá¶áááŸáááŒááºážááŒá áºáááºá Macro áá«áááºáá±á¬ á€á á¬ááœááºá á¬áááºážááᯠáááºááœáá·áºááŒá®áž áááºážááẠá¡áá¹ááá¬ááºááŸááá±á¬ PowerShell ááᯠá áááºááŒááºážááœáẠá¡áá¯á¶ážáááºáá«áááºá
áááŒá¬ááááá¯áááᯠVisual Basic script ááẠantivirus ááŸáá·áº á¡ááŒá¬ážáá±á¬ malware scanner áá»á¬ážááᯠááœááºáááºá áœá¬ ááŸá±á¬ááºááŸá¬ážááá¯ááºááẠááŸá¯ááºááœá±ážáá±áá«áááºá á¡áááºáá±á¬áºááŒáá«ááá±á¬á¡áá á¡áááºáá±á¬áºááŒáá« PowerShell ááᯠáá±á·áá»áá·áºáááºážá¡ááŒá ẠJavaScript ááœáẠáá¯ááºáá¯ááºááẠáá¯á¶ážááŒááºáá²á·áááºá á¡á±á¬ááºáá«ááá¯á·ááẠáá»áœááºá¯ááºáá¡áá¯ááºáááááºáá»á¬ážááŒá áºáááº-
áá»áœááºá¯ááºááá¯á·á PowerShell ááᯠáá¯á¶ážááœááºáá¬ážáá±á¬ ááŸá¯ááºááœá±ážáá±áá±á¬ JavaScriptá áááºáá¬á¡á á áºááœá±á áá«ááᯠáá áºáá«ááŸá áºáá«áá¯ááºáááºá
á€áááºááŸá¬ áááºáá
áºááá¯ááºááœáẠááœáá·áºáá»á±á¬áá±ááá·áº á¡ááŒá¬ážáááºážáááºážáá
áºáá¯ááŒá
áºáááº- Wscript.Shell ááᯠá¡áá¯á¶ážááŒá¯á áá¯ááºáá¯ááºáá¬ážáá±á¬ PowerShell ááᯠáá¯ááºáá±á¬ááºáááºá á
áá¬ážáá
ááºá JavaScript ááá¯ááºááá¯ááºá
áá»áœááºá¯ááºááá¯á·áá¡ááŒá±á¡áá±ááœááºá á¡áá¹ááá¬ááºááŸááá±á¬ JS script ááᯠ.doc.js ááá¯ážáá»á²á·ááŸá¯ááŒáá·áº ááá¯ááºáá
áºáá¯á¡ááŒá
Ạááá·áºááœááºážáá¬ážáááºá Windows ááẠáá¯á¶ááŸááºá¡á¬ážááŒáá·áº ááá áá±á¬ááºáááºááœá²ááá¯áᬠááŒááááºááŒá
áºááŒá®ážá ááá¯á·ááŒá±á¬áá·áº áááºážááẠáá¬ážáá±á¬ááºá¡á¬áž Word á
á¬ááœááºá
á¬áááºážá¡ááŒá
Ạáá±á«áºáá¬áááºááŒá
áºáááºá
JS icon ááẠscroll icon ááœááºáá¬áá±á«áºáá¬áááºá á€áá°ážááœá²áá«ááá¯ááºááᯠWord document áá áºáá¯áá¯áááºáᬠáá°áá»á¬ážá áœá¬á á€áá°ážááœá²áá«ááá¯ááºááᯠááœáá·áºááŒáááºááŸá¬ á¡á¶á·ááŒá áá¬ááá¯ááºáá«á
áá»áœááºá¯ááºáá¥ááá¬ááœááºá áá»áœááºá¯ááºááẠáá»áœááºá¯ááºááááºááá¯ááºá០script ááá¯áá±á«ááºážáá¯ááºáá¯ááºááẠá¡áááºáá±á¬áºááŒáá« PowerShell ááᯠááŒááºáááºáá¬ážáá«áááºá á¡áá±ážááááºáž PS script ááẠ"Evil Malware" ááᯠáááá·áºáá¯ááºáá¯á¶áá¬ááŒá áºáááºá áááºážááŒááºáá²á·á¡ááá¯ááºážáá² áá°á ááá¯ážáá¯ááºáá¬ááá¯ááºáá°ážá áá¯ááºáá«áááºá áááá·áºáááºáá¬ááœá±á áááºáá±á¬á·áẠáá«ááŸááá¯áẠáá¬áá¬ááᯠáááºááœáá·áºáááá¯á· á áááºáááºá á¬ážááŒáááºá command shell ááááá·áº ááŒá±á¬áá¬á áá±á¬ááºáá±á¬ááºážáá«ážááœáẠPowerShell Empire ááᯠá¡áá¯á¶ážááŒá¯á áááºážááᯠáááºááá¯á·áá¯ááºáá±á¬ááºááááºááᯠáááºááŒáá«áááºá
ááááá¯á¶áž áááá«ááºážáá±á¬ááºážáá«ážá¡ááœáẠáá±á«ááºážá
ááºááᯠááááºááŒá®áž áá²áá²áááºááẠáá
ááºážá
á¬ážááááá¯á· áá»áŸá±á¬áºááá·áºáá«áááºá ááᯠáá»áœááºá¯ááºááẠááá·áºá¡á¬áž áá±áá¹áá¡áá¬ážáá°ááœáá·áºááŒá¯áááºááŒá
áºááŒá®ážá áááá¯á¡ááºáá² ááááºáááºá
áá¬áž ááá¯á·ááá¯áẠááŒááºáááºááŸá¯áá
áºá
á¯á¶áá
áºáá¬áááŸááá² fileless malware ááᯠá¡áá¯á¶ážááŒá¯á ááá¯ááºááá¯ááºááŒááºážá ááá°áá¬áá»á¬ážááᯠáá±á¬ááºáá
áºááŒáááºááœáẠá
áááºááŒáá·áºááŸá¯áá«áááºá
source: www.habr.com