Elusive Malvari ၏စွန့်စားခန်းများ၊ အပိုင်း ၁

ဤဆောင်းပါးဖြင့် တွေ့ရခဲသော malware များအကြောင်း ထုတ်ဝေမှုများ ဆက်တိုက်စတင်ပါသည်။ ဖိုင်မဲ့ဟက်ကာပရိုဂရမ်များဟုလည်းသိကြသော ဖိုင်မဲ့ဟက်ကာပရိုဂရမ်များသည် အများအားဖြင့် အဖိုးတန်အကြောင်းအရာများကိုရှာဖွေရန်နှင့် ထုတ်ယူရန်အတွက် အမိန့်များကို တိတ်တဆိတ်လုပ်ဆောင်ရန် Windows စနစ်များတွင် PowerShell ကိုအသုံးပြုသည်။ အန္တရာယ်ရှိသော ဖိုင်များမပါဘဲ ဟက်ကာ၏ လုပ်ဆောင်ချက်ကို ရှာဖွေခြင်းသည် ခက်ခဲသော အလုပ်ဖြစ်သောကြောင့် ... ဗိုင်းရပ်စ်တိုက်ဖျက်ရေးနှင့် အခြားသော ထောက်လှမ်းမှုစနစ်များစွာသည် လက်မှတ်ခွဲခြမ်းစိတ်ဖြာမှုအပေါ် အခြေခံ၍ အလုပ်လုပ်ပါသည်။ ဒါပေမယ့် သတင်းကောင်းကတော့ ဒီလိုဆော့ဖ်ဝဲလ်တွေ ပါရှိပါတယ်။ ဥပမာအားဖြင့်, UBA စနစ်များဖိုင်စနစ်များတွင် အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်များကို ထောက်လှမ်းနိုင်သည်။

badass ဟက်ကာတွေရဲ့ ခေါင်းစဉ်ကို ပထမဆုံး စလေ့လာတုန်းက၊ မိရိုးဖလာ ပိုးဝင်နည်းများကို မသုံးပါ။ဒါပေမယ့် သားကောင်ရဲ့ကွန်ပြူတာမှာ ရနိုင်တဲ့ ကိရိယာတွေနဲ့ ဆော့ဖ်ဝဲတွေပဲ၊ ဒါက မကြာခင်မှာ လူကြိုက်များတဲ့ တိုက်ခိုက်ရေးနည်းလမ်းတစ်ခု ဖြစ်လာတော့မယ်ဆိုတာ ကျွန်တော် မသိခဲ့ပါဘူး။ လုံခြုံရေး ပညာရှင်များ သူတို့ပြောဒါက လမ်းကြောင်းသစ်တစ်ခု ဖြစ်လာနေပြီလား။ ကြောက်စရာ ဆောင်းပါး ခေါင်းကြီးပိုင်း - ဤအချက်ကိုအတည်ပြုပါ။ ထို့ကြောင့် ဤအကြောင်းအရာနှင့်ပတ်သက်သော စာတမ်းများထုတ်ဝေရန် ဆုံးဖြတ်ခဲ့သည်။

ကြီးမြတ်ပြီး အစွမ်းထက်သော PowerShell

ဒီအတွေးအမြင်တချို့ကို ကျွန်တော် အရင်က ရေးခဲ့ဖူးတယ်။ PowerShell obfuscation စီးရီးဒါပေမယ့် သီအိုရီ သဘောတရားကို အခြေခံထားတာ။ နောက်မှတွေ့တယ်။ ပေါင်းစပ်ခွဲခြမ်းစိတ်ဖြာမှုအတွက် ဝဘ်ဆိုဒ်တောရိုင်းတွင် “ဖမ်းမိ” သော malware နမူနာများကို သင်ရှာတွေ့နိုင်သည် ။ ဖိုင်မဲ့ malware နမူနာများကို ရှာဖွေရန် ဤဆိုက်ကို အသုံးပြုရန် ဆုံးဖြတ်ခဲ့သည်။ ပြီးတော့ ငါအောင်မြင်တယ်။ စကားမစပ်၊ သင်သည် သင်၏ကိုယ်ပိုင် malware အမဲလိုက်ခြင်းဆိုင်ရာ လေ့လာရေးခရီးကို သွားလိုပါက၊ သင်သည် ဦးထုပ်ဖြူကျွမ်းကျင်သူတစ်ဦးအဖြစ် လုပ်ဆောင်နေကြောင်း ၎င်းတို့သိရှိနိုင်စေရန် ဤဆိုက်မှ အတည်ပြုချက်ရယူရမည်ဖြစ်ပါသည်။ လုံခြုံရေးဘလော့ဂါတစ်ယောက်အနေနဲ့ မေးခွန်းမထုတ်ဘဲ ကျော်ဖြတ်ခဲ့တယ်။ မင်းလည်းလုပ်နိုင်မှာသေချာပါတယ်။

နမူနာများအပြင်၊ ဤပရိုဂရမ်များဘာလုပ်သည်ကို site ပေါ်တွင်သင်ကြည့်ရှုနိုင်သည်။ ဟိုက်ဘရစ်ခွဲခြမ်းစိတ်ဖြာမှုသည် ၎င်း၏ကိုယ်ပိုင် sandbox တွင် malware ကိုလုပ်ဆောင်ပြီး စနစ်ခေါ်ဆိုမှုများ၊ လုပ်ဆောင်နေသည့် လုပ်ငန်းစဉ်များနှင့် ကွန်ရက်လုပ်ဆောင်ချက်များကို စောင့်ကြည့်ကာ သံသယဖြစ်ဖွယ်စာသားကြိုးများကို ထုတ်ယူသည်။ binaries နှင့် အခြားသော executable files များအတွက်၊ i.e. တကယ့်အဆင့်မြင့်ကုဒ်ကို မကြည့်နိုင်ဘဲ၊ ဆော့ဖ်ဝဲသည် ၎င်း၏ runtime လုပ်ဆောင်ချက်အပေါ် အခြေခံ၍ အန္တရာယ်ရှိခြင်းရှိ၊ ထို့နောက် နမူနာကို အကဲဖြတ်ပြီးဖြစ်သည်။

PowerShell နှင့် အခြားနမူနာ script များ (Visual Basic, JavaScript, etc.) တွင်၊ ကျွန်ုပ်သည် code ကို ကိုယ်တိုင်မြင်နိုင်ခဲ့ပါသည်။ ဥပမာအားဖြင့်၊ ကျွန်ုပ်သည် ဤ PowerShell ဥပမာကို တွေ့သည်-

ထောက်လှမ်းခြင်းမှရှောင်ရှားရန် PowerShell ကို base64 ကုဒ်နံပါတ်ဖြင့်လည်း လုပ်ဆောင်နိုင်သည်။ Non interactive နှင့် Hidden parameters များအသုံးပြုခြင်းကို သတိပြုပါ။

ရှုပ်ယှက်ခတ်နေသော ကျွန်ုပ်၏ ပို့စ်များကို သင်ဖတ်ပြီးပါက၊ -e ရွေးချယ်မှုသည် အကြောင်းအရာသည် base64 ကုဒ်ဖြင့် ဖော်ပြသည်ကို သင်သိပါသည်။ စကားမစပ်၊ ဟိုက်ဘရစ်ခွဲခြမ်းစိတ်ဖြာမှုသည်လည်း အရာအားလုံးကို ပြန်ကုဒ်လုပ်ခြင်းဖြင့် ၎င်းကိုကူညီသည်။ အကယ်၍ သင်သည် base64 PowerShell (ယခုနောက်ပိုင်းတွင် PS ဟုရည်ညွှန်းသည်) ကိုသင်ကိုယ်တိုင်ကုဒ်ဆွဲရန်ကြိုးစားလိုပါက၊ သင်သည်ဤ command ကို run ရန်လိုအပ်သည်-

 [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))

နက်နဲသွားပါ။

ကျွန်ုပ်တို့၏ PS script ကို ဤနည်းလမ်းကို အသုံးပြု၍ ကုဒ်အမှတ်အသားပြုထားသည်၊ ကျွန်ုပ်မှ အနည်းငယ် ပြုပြင်ထားသော်လည်း အောက်တွင် ပရိုဂရမ်၏ စာသားဖြစ်ပါသည်။

ဇာတ်ညွှန်းကို စက်တင်ဘာ 4 ရက်၊ 2017 ရက်စွဲနှင့် ချိတ်ဆက်ထားပြီး စက်ရှင်ကွတ်ကီးများကို ပေးပို့ထားကြောင်း သတိပြုပါ။

ဒီတိုက်ခိုက်မှုပုံစံအကြောင်း ရေးထားတယ်။ PS obfuscation စီးရီးbase64 ကုဒ်သွင်းထားသော script သည် သူ့ဘာသာသူ load လုပ်သော၊ ပျောက်ဆုံး လေးလံမှုကို ရုတ်သိမ်းရန် .Net Framework စာကြည့်တိုက်၏ WebClient အရာဝတ္တုကို အသုံးပြု၍ အခြားဆိုက်မှ malware များ။

ဒါကြောင့်အဘယ်သို့ပြုရပါသနည်း?

Windows ဖြစ်ရပ်မှတ်တမ်းများ သို့မဟုတ် firewalls များကို စကင်န်ဖတ်ခြင်းအတွက် လုံခြုံရေးဆော့ဖ်ဝဲအတွက်၊ base64 ကုဒ်ကုဒ်သည် ထိုကဲ့သို့သော ဝဘ်တောင်းဆိုမှုတစ်ခုကို ပြုလုပ်ခြင်းမှ ကာကွယ်ရန်အတွက် ရိုးရှင်းသောစာသားပုံစံဖြင့် string "WebClient" ကို တွေ့ရှိခြင်းမှ တားဆီးပေးပါသည်။ Malware ၏ "မကောင်းသော" အားလုံးကို ဒေါင်းလုဒ်လုပ်ပြီး ကျွန်ုပ်တို့၏ PowerShell ထဲသို့ ရောက်သွားသောကြောင့်၊ ဤနည်းလမ်းသည် ကျွန်ုပ်တို့အား ထောက်လှမ်းမှုကို လုံးဝရှောင်လွှဲနိုင်စေပါသည်။ ဒါမှ မဟုတ် ဒါက အစတုန်းက ငါထင်ခဲ့တာ။

Windows PowerShell Advanced Logging ကိုဖွင့်ထားခြင်းဖြင့် (ကျွန်ုပ်၏ဆောင်းပါးကိုကြည့်ပါ) သည် event log တွင် loaded line ကိုတွေ့မြင်နိုင်မည်ဖြစ်ပါသည်။ ငါကြိုက်တယ်။ Ryo RґSЂSѓRіRoRμ ) Microsoft သည် ဤမှတ်တမ်းအဆင့်ကို မူရင်းအတိုင်း ဖွင့်ထားသင့်သည်ဟု ထင်ပါတယ်။ ထို့ကြောင့်၊ တိုးချဲ့မှတ်တမ်းဖွင့်ထားခြင်းဖြင့်၊ အထက်ဖော်ပြပါ ဥပမာအတိုင်း ကျွန်ုပ်တို့ဆွေးနွေးခဲ့သည့် ဥပမာအတိုင်း PS script မှ အပြီးသတ်ဒေါင်းလုဒ်တောင်းဆိုမှုတစ်ခုကို Windows ဖြစ်ရပ်မှတ်တမ်းတွင် ကျွန်ုပ်တို့တွေ့ရပါမည်။ ထို့ကြောင့်၊ ၎င်းကိုအသက်သွင်းရန် အဓိပ္ပာယ်ရှိပါသည်၊ သင်သဘောတူသည်မဟုတ်လော။

ထပ်လောင်းအခြေအနေများကို ထည့်ကြည့်ရအောင်

ဟက်ကာများသည် Visual Basic နှင့် အခြားသော scripting languages ​​များဖြင့် ရေးသားထားသော Microsoft Office မက်ခရိုများတွင် PowerShell တိုက်ခိုက်မှုများကို ပါးပါးနပ်နပ် ဝှက်ထားသည်။ အယူအဆမှာ .doc ဖော်မတ်ဖြင့် ပူးတွဲပါရှိသော အစီရင်ခံစာတစ်ခုနှင့်အတူ ဥပမာအားဖြင့် သားကောင်သည် ပေးပို့ခြင်းဝန်ဆောင်မှုမှ မက်ဆေ့ချ်ကို လက်ခံရရှိခြင်းဖြစ်သည်။ Macro ပါ၀င်သော ဤစာရွက်စာတမ်းကို သင်ဖွင့်ပြီး ၎င်းသည် အန္တရာယ်ရှိသော PowerShell ကို စတင်ခြင်းတွင် အဆုံးသတ်ပါသည်။

မကြာခဏဆိုသလို Visual Basic script သည် antivirus နှင့် အခြားသော malware scanner များကို လွတ်လပ်စွာ ရှောင်ရှားနိုင်ရန် ရှုပ်ထွေးနေပါသည်။ အထက်ဖော်ပြပါသဘောအရ၊ အထက်ဖော်ပြပါ PowerShell ကို လေ့ကျင့်ခန်းအဖြစ် JavaScript တွင် ကုဒ်လုပ်ရန် ဆုံးဖြတ်ခဲ့သည်။ အောက်ပါတို့သည် ကျွန်ုပ်၏အလုပ်၏ရလဒ်များဖြစ်သည်-

ကျွန်ုပ်တို့၏ PowerShell ကို ဖုံးကွယ်ထားသော ရှုပ်ထွေးနေသော JavaScript။ ဟက်ကာအစစ်တွေက ဒါကို တစ်ခါနှစ်ခါလုပ်တယ်။

ဤသည်မှာ ဝဘ်တစ်ဝိုက်တွင် လွင့်မျောနေသည့် အခြားနည်းလမ်းတစ်ခုဖြစ်သည်- Wscript.Shell ကို အသုံးပြု၍ ကုဒ်လုပ်ထားသော PowerShell ကို လုပ်ဆောင်ရန်။ စကားမစပ်၊ JavaScript ကိုယ်တိုင်က ဆိုလိုသည် malware ပေးပို့ခြင်း။ Windows ဗားရှင်းများစွာတွင် built-in ပါရှိသည်။ Windows Script Host၎င်းကိုယ်တိုင် JS ကိုသုံးနိုင်သည်။
ကျွန်ုပ်တို့၏အခြေအနေတွင်၊ အန္တရာယ်ရှိသော JS script ကို .doc.js တိုးချဲ့မှုဖြင့် ဖိုင်တစ်ခုအဖြစ် ထည့်သွင်းထားသည်။ Windows သည် ပုံမှန်အားဖြင့် ပထမ နောက်ဆက်တွဲကိုသာ ပြသမည်ဖြစ်ပြီး၊ ထို့ကြောင့် ၎င်းသည် သားကောင်အား Word စာရွက်စာတမ်းအဖြစ် ပေါ်လာမည်ဖြစ်သည်။

JS icon သည် scroll icon တွင်သာပေါ်လာသည်။ ဤပူးတွဲပါဖိုင်ကို Word document တစ်ခုဟုထင်ကာ လူများစွာက ဤပူးတွဲပါဖိုင်ကို ဖွင့်ကြသည်မှာ အံ့သြစရာမဟုတ်ပါ။

ကျွန်ုပ်၏ဥပမာတွင်၊ ကျွန်ုပ်သည် ကျွန်ုပ်၏ဝဘ်ဆိုက်မှ script ကိုဒေါင်းလုဒ်လုပ်ရန် အထက်ဖော်ပြပါ PowerShell ကို ပြင်ဆင်ထားပါသည်။ အဝေးထိန်း PS script သည် "Evil Malware" ကို ပရင့်ထုတ်ရုံသာဖြစ်သည်။ မင်းမြင်တဲ့အတိုင်းပဲ သူက ဆိုးယုတ်တာမဟုတ်ဘူး။ ဟုတ်ပါတယ်၊ တကယ့်ဟက်ကာတွေက လက်တော့ပ် ဒါမှမဟုတ် ဆာဗာကို ဝင်ခွင့်ရဖို့ စိတ်ဝင်စားကြတယ်၊ command shell ကတဆင့် ပြောတာ။ နောက်ဆောင်းပါးတွင် PowerShell Empire ကို အသုံးပြု၍ ၎င်းကို မည်သို့လုပ်ဆောင်ရမည်ကို သင်ပြပါမည်။

ပထမဆုံး နိဒါန်းဆောင်းပါးအတွက် ခေါင်းစဉ်ကို သိပ်ပြီး ထဲထဲဝင်ဝင် မစဉ်းစားမိဖို့ မျှော်လင့်ပါတယ်။ ယခု ကျွန်ုပ်သည် သင့်အား ခေတ္တအနားယူခွင့်ပြုမည်ဖြစ်ပြီး၊ မလိုအပ်ဘဲ မိတ်ဆက်စကား သို့မဟုတ် ပြင်ဆင်မှုတစ်စုံတစ်ရာမရှိဘဲ fileless malware ကို အသုံးပြု၍ တိုက်ခိုက်ခြင်း၏ နမူနာများကို နောက်တစ်ကြိမ်တွင် စတင်ကြည့်ရှုပါမည်။

source: www.habr.com