S tem člankom začenjamo serijo publikacij o izmuzljivi zlonamerni programski opremi. Hekerski programi brez datotek, znani tudi kot hekerski programi brez datotek, običajno uporabljajo PowerShell v sistemih Windows za tiho izvajanje ukazov za iskanje in ekstrahiranje dragocene vsebine. Odkrivanje hekerske dejavnosti brez zlonamernih datotek je težka naloga, saj... protivirusni programi in številni drugi sistemi za odkrivanje delujejo na podlagi analize podpisov. Toda dobra novica je, da taka programska oprema obstaja. na primer , ki lahko zazna zlonamerno dejavnost v datotečnih sistemih.
Ko sem prvič začel raziskovati temo hudih hekerjev, , temveč samo orodja in programsko opremo, ki so na voljo na žrtvinem računalniku, nisem vedel, da bo to kmalu postala priljubljena metoda napada. Varnostni strokovnjaki da to postaja trend, ter - potrditev tega. Zato sem se odločil narediti serijo publikacij na to temo.
Velik in zmogljiv PowerShell
O nekaterih od teh idej sem že pisal v , vendar bolj temelji na teoretičnem konceptu. Kasneje sem naletel , kjer lahko najdete vzorce zlonamerne programske opreme, »ujete« v naravi. Odločil sem se, da poskusim s tem mestom najti vzorce zlonamerne programske opreme brez datotek. In mi je uspelo. Mimogrede, če se želite odpraviti na lastno lovsko ekspedicijo za zlonamerno programsko opremo, vas bo to spletno mesto moralo preveriti, da bodo vedeli, da delo opravljate kot strokovnjak za bele klobuke. Kot varnostni bloger sem ga opravil brez vprašanj. Prepričan sem, da lahko tudi ti.
Poleg samih vzorcev si lahko na spletnem mestu ogledate, kaj počnejo ti programi. Hibridna analiza poganja zlonamerno programsko opremo v lastnem peskovniku in spremlja sistemske klice, tekoče procese in omrežno dejavnost ter ekstrahira sumljive besedilne nize. Za binarne in druge izvedljive datoteke, tj. kjer ne morete niti pogledati dejanske visokonivojske kode, hibridna analiza na podlagi dejavnosti med izvajanjem odloči, ali je programska oprema zlonamerna ali samo sumljiva. In po tem je vzorec že ocenjen.
V primeru lupine PowerShell in drugih vzorčnih skriptov (Visual Basic, JavaScript itd.) sem lahko videl samo kodo. Naletel sem na primer na ta primer PowerShell:
PowerShell lahko zaženete tudi v kodiranju base64, da se izognete odkrivanju. Upoštevajte uporabo neinteraktivnih in skritih parametrov.
Če ste prebrali moje objave o zamegljevanju, potem veste, da možnost -e določa, da je vsebina kodirana base64. Mimogrede, pri tem pomaga tudi hibridna analiza, ki dekodira vse nazaj. Če želite sami poskusiti dekodirati base64 PowerShell (v nadaljevanju PS), morate zagnati ta ukaz:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Pojdi globlje
Naš skript PS sem dekodiral s to metodo, spodaj je besedilo programa, ki sem ga nekoliko spremenil:
Upoštevajte, da je bil skript vezan na datum 4. september 2017 in je posredoval sejne piškotke.
O tem slogu napada sem pisal v , v katerem se naloži sam kodirani skript base64 manjka zlonamerno programsko opremo z drugega spletnega mesta, pri čemer uporablja objekt WebClient knjižnice .Net Framework, da opravi težko delo.
Kaj počne?
Za varnostno programsko opremo, ki pregleduje dnevnike dogodkov Windows ali požarne zidove, kodiranje base64 preprečuje, da bi vzorec navadnega besedila zaznal niz »WebClient«, da bi zaščitil pred takšno spletno zahtevo. In ker se vse "zlo" zlonamerne programske opreme nato prenese in prenese v naš PowerShell, nam ta pristop omogoča, da se popolnoma izognemo odkrivanju. Oziroma tako sem sprva mislil.
Izkazalo se je, da boste lahko z omogočenim naprednim beleženjem Windows PowerShell (glejte moj članek) videli naloženo vrstico v dnevniku dogodkov. jaz sem kot ) Mislim, da bi moral Microsoft privzeto omogočiti to raven beleženja. Zato bomo z omogočenim razširjenim beleženjem v dnevniku dogodkov Windows videli dokončano zahtevo za prenos iz skripta PS v skladu s primerom, ki smo ga obravnavali zgoraj. Zato ga je smiselno aktivirati, se strinjate?
Dodajmo dodatne scenarije
Hekerji spretno skrijejo napade PowerShell v makre Microsoft Office, napisane v Visual Basicu in drugih skriptnih jezikih. Ideja je, da žrtev prejme sporočilo, na primer od dostavne službe, s priloženim poročilom v formatu .doc. Odprete ta dokument, ki vsebuje makro, in na koncu zažene sam zlonamerni PowerShell.
Pogosto je sam skript Visual Basic zakrit, tako da se prosto izogiba protivirusnim programom in drugim pregledovalcem zlonamerne programske opreme. V duhu zgoraj navedenega sem se kot vajo odločil kodirati zgornji PowerShell v JavaScript. Spodaj so rezultati mojega dela:
Zakrit JavaScript, ki skriva naš PowerShell. Pravi hekerji to naredijo enkrat ali dvakrat.
To je še ena tehnika, ki sem jo videl plavati po spletu: uporaba Wscript.Shell za zagon kodiranega PowerShell. Mimogrede, sam JavaScript je dostava zlonamerne programske opreme. Veliko različic sistema Windows ima vgrajeno , ki lahko sam izvaja JS.
V našem primeru je zlonamerni skript JS vdelan kot datoteka s pripono .doc.js. Windows bo običajno prikazal samo prvo pripono, tako da bo žrtvi videti kot Wordov dokument.
Ikona JS se prikaže samo v ikoni drsenja. Ni presenetljivo, da bo veliko ljudi odprlo to priponko, misleč, da je Wordov dokument.
V svojem primeru sem spremenil PowerShell zgoraj, da prenesem skript s svojega spletnega mesta. Oddaljeni skript PS samo natisne "Evil Malware". Kot lahko vidite, sploh ni hudoben. Seveda so pravi hekerji zainteresirani za dostop do prenosnika ali strežnika, recimo, prek ukazne lupine. V naslednjem članku vam bom pokazal, kako to storite z uporabo PowerShell Empire.
Upam, da se za prvi uvodni članek nismo preveč poglobili v temo. Zdaj vam pustim, da si oddahnete, naslednjič pa si bomo brez nepotrebnih uvodnih besed ali priprav začeli ogledovati resnične primere napadov z zlonamerno programsko opremo brez datotek.
Vir: www.habr.com