S tem člankom začenjamo serijo publikacij o izmuzljivi zlonamerni programski opremi. Hekerski programi brez datotek, znani tudi kot hekerski programi brez datotek, običajno uporabljajo PowerShell v sistemih Windows za tiho izvajanje ukazov za iskanje in ekstrahiranje dragocene vsebine. Odkrivanje hekerske dejavnosti brez zlonamernih datotek je težka naloga, saj... protivirusni programi in številni drugi sistemi za odkrivanje delujejo na podlagi analize podpisov. Toda dobra novica je, da taka programska oprema obstaja. na primer
Ko sem prvič začel raziskovati temo hudih hekerjev,
Velik in zmogljiv PowerShell
O nekaterih od teh idej sem že pisal v
Poleg samih vzorcev si lahko na spletnem mestu ogledate, kaj počnejo ti programi. Hibridna analiza poganja zlonamerno programsko opremo v lastnem peskovniku in spremlja sistemske klice, tekoče procese in omrežno dejavnost ter ekstrahira sumljive besedilne nize. Za binarne in druge izvedljive datoteke, tj. kjer ne morete niti pogledati dejanske visokonivojske kode, hibridna analiza na podlagi dejavnosti med izvajanjem odloči, ali je programska oprema zlonamerna ali samo sumljiva. In po tem je vzorec že ocenjen.
V primeru lupine PowerShell in drugih vzorčnih skriptov (Visual Basic, JavaScript itd.) sem lahko videl samo kodo. Naletel sem na primer na ta primer PowerShell:
PowerShell lahko zaženete tudi v kodiranju base64, da se izognete odkrivanju. Upoštevajte uporabo neinteraktivnih in skritih parametrov.
Če ste prebrali moje objave o zamegljevanju, potem veste, da možnost -e določa, da je vsebina kodirana base64. Mimogrede, pri tem pomaga tudi hibridna analiza, ki dekodira vse nazaj. Če želite sami poskusiti dekodirati base64 PowerShell (v nadaljevanju PS), morate zagnati ta ukaz:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Pojdi globlje
Naš skript PS sem dekodiral s to metodo, spodaj je besedilo programa, ki sem ga nekoliko spremenil:
Upoštevajte, da je bil skript vezan na datum 4. september 2017 in je posredoval sejne piškotke.
O tem slogu napada sem pisal v
Kaj počne?
Za varnostno programsko opremo, ki pregleduje dnevnike dogodkov Windows ali požarne zidove, kodiranje base64 preprečuje, da bi vzorec navadnega besedila zaznal niz »WebClient«, da bi zaščitil pred takšno spletno zahtevo. In ker se vse "zlo" zlonamerne programske opreme nato prenese in prenese v naš PowerShell, nam ta pristop omogoča, da se popolnoma izognemo odkrivanju. Oziroma tako sem sprva mislil.
Izkazalo se je, da boste lahko z omogočenim naprednim beleženjem Windows PowerShell (glejte moj članek) videli naloženo vrstico v dnevniku dogodkov. jaz sem kot
Dodajmo dodatne scenarije
Hekerji spretno skrijejo napade PowerShell v makre Microsoft Office, napisane v Visual Basicu in drugih skriptnih jezikih. Ideja je, da žrtev prejme sporočilo, na primer od dostavne službe, s priloženim poročilom v formatu .doc. Odprete ta dokument, ki vsebuje makro, in na koncu zažene sam zlonamerni PowerShell.
Pogosto je sam skript Visual Basic zakrit, tako da se prosto izogiba protivirusnim programom in drugim pregledovalcem zlonamerne programske opreme. V duhu zgoraj navedenega sem se kot vajo odločil kodirati zgornji PowerShell v JavaScript. Spodaj so rezultati mojega dela:
Zakrit JavaScript, ki skriva naš PowerShell. Pravi hekerji to naredijo enkrat ali dvakrat.
To je še ena tehnika, ki sem jo videl plavati po spletu: uporaba Wscript.Shell za zagon kodiranega PowerShell. Mimogrede, sam JavaScript je
V našem primeru je zlonamerni skript JS vdelan kot datoteka s pripono .doc.js. Windows bo običajno prikazal samo prvo pripono, tako da bo žrtvi videti kot Wordov dokument.
Ikona JS se prikaže samo v ikoni drsenja. Ni presenetljivo, da bo veliko ljudi odprlo to priponko, misleč, da je Wordov dokument.
V svojem primeru sem spremenil PowerShell zgoraj, da prenesem skript s svojega spletnega mesta. Oddaljeni skript PS samo natisne "Evil Malware". Kot lahko vidite, sploh ni hudoben. Seveda so pravi hekerji zainteresirani za dostop do prenosnika ali strežnika, recimo, prek ukazne lupine. V naslednjem članku vam bom pokazal, kako to storite z uporabo PowerShell Empire.
Upam, da se za prvi uvodni članek nismo preveč poglobili v temo. Zdaj vam pustim, da si oddahnete, naslednjič pa si bomo brez nepotrebnih uvodnih besed ali priprav začeli ogledovati resnične primere napadov z zlonamerno programsko opremo brez datotek.
Vir: www.habr.com