Maqaalkan waxaan ku bilaabaynaa daabacaado taxane ah oo ku saabsan malware-ka qarsoon. Barnaamijyada jabsiga aan fileyn, sidoo kale loo yaqaan barnaamijyada jabsiga file-la'aanta ah, sida caadiga ah waxay isticmaalaan PowerShell nidaamyada Windows si ay aamusnaan ugu socodsiiyaan amarada si loo raadiyo loogana soo saaro nuxurka qiimaha leh. Ogaanshaha dhaqdhaqaaqa hacker-ka iyada oo aan la helin faylal xaasidnimo ah waa hawl adag, sababtoo ah... Antiviruses iyo habab kale oo ogaanshaha oo badan ayaa ku shaqeeya falanqaynta saxeexa. Laakiin warka wanaagsan ayaa ah in software-ka noocaas ahi uu jiro. Tusaale ahaan,
Markii ugu horeysay ee aan bilaabay baaritaanka mawduuca hackers-ka badass,
Awoodda Weyn ee Awoodda leh
Waxaan hore uga qoray qaar ka mid ah fikradahan
Marka lagu daro muunada laftooda, goobta waxaad ka arki kartaa waxay qabtaan barnaamijyadani. Falanqaynta isku-dhafka ah waxay ku shaqeysaa malware-ka sanduuqa bacaadka ah waxayna la socotaa wicitaanada nidaamka, socodsiinta howlaha iyo dhaqdhaqaaqa shabakada, waxayna soo saartaa xargaha qoraalka ee shakiga leh. Binaariyada iyo faylalka kale ee la fulin karo, i.e. meesha aadan xitaa fiirin karin koodka heerka sare ee dhabta ah, falanqaynta isku-dhafka ah ayaa go'aamisa in software-ku xaasidnimo yahay ama kaliya laga shakiyo oo ku salaysan hawlihiisa runtime. Kadibna muunada mar hore ayaa la qiimeeyay.
Xaaladda PowerShell iyo qoraallada muunadda kale (Visual Basic, JavaScript, iwm.), waxaan awooday inaan arko koodka laftiisa. Tusaale ahaan, waxaan la kulmay tusaale ahaan PowerShell:
Waxa kale oo aad ku socodsiin kartaa PowerShell in base64 codeing si aad uga fogaato in la ogaado. Ogsoonow isticmaalka xuduudaha aan is-dhexgal lahayn iyo kuwa qarsoon.
Haddii aad akhriday qoraalladayda ku saabsan indho-shareerka, markaa waxaad ogtahay in -e-ikhtiyaarka uu qeexayo in nuxurku yahay base64 encoded. Jid ahaan, falanqaynta isku-dhafka ah ayaa sidoo kale ka caawisa tan iyada oo wax walba dib u dejinaysa. Haddii aad rabto inaad isku daydo inaad dejiso base64 PowerShell (oo hadda loo yaqaan PS) naftaada, waxaad u baahan tahay inaad socodsiiso amarkan:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Hoos u sii wad
Waxaan hab-qodobiyay qoraalkayaga PS-ga anigoo isticmaalaya habkan, hoos waa qoraalka barnaamijka, in kastoo aniga wax yar wax ka beddelay:
Ogsoonow in qoraalku uu ku xidhnaa taariikhda Sebtembar 4, 2017 iyo cookies-ka fadhiga la gudbiyay.
Waxaan wax ka qoray qaabkan weerarka ah
Tan maxaa loogu talagalay?
Si loo baadho software-ka badbaadada galmoodka dhacdooyinka Windows ama dab-damiska, base64 encoding waxay ka ilaalisaa xadhiga "WebClient" in lagu ogaado qaab qoraal ah oo cad si looga ilaaliyo samaynta codsiga shabakadda. Iyo mar haddii dhammaan "xun" malware-ka la soo dejiyo oo loo gudbiyo PowerShell, habkani wuxuu noo ogolaanayaa inaan si buuxda uga baxsanno ogaanshaha. Ama halkii, taasi waa waxa aan ku fikiray markii hore.
Waxay soo baxday in Windows PowerShell Logging Advanced Logging karti u leh (eeg maqaalkayga), waxaad awoodi doontaa inaad ku aragto xariiqda la raray ee log dhacdada. waxaan ahay sida
Aynu ku darno xaalado dheeraad ah
Hackers-ku waxay si caqli-gal ah ugu qariyaan weerarrada PowerShell macrosyada Office-ka ee ku qoran Visual Basic iyo luqadaha kale ee qoraalka. Fikradda ayaa ah in dhibbanuhu uu helo farriin, tusaale ahaan adeegga gaarsiinta, oo leh warbixin ku lifaaqan qaabka .doc. Waxaad furaysaa dukumeentiga uu ka kooban yahay makro, oo wuxuu ku dhamaanayaa inuu bilaabo PowerShell laftiisa.
Badanaa qoraalka Visual Basic laftiisa waa la daboolaa si uu si xor ah uga fogaado fayraska iyo iskaannada kale ee malware. Ruuxa kore, waxaan go'aansaday in aan ku codeeyo PowerShell-ka kore ee JavaScript layli ahaan. Hoos waxaa ku yaal natiijooyinka shaqadayda:
JavaScript qarsoon oo qarinaysa PowerShellkeena. Hackers-ka dhabta ah ayaa tan sameeya hal ama laba jeer.
Tani waa farsamo kale oo aan ku arkay iyada oo dul sabaynaysa shabakada: addoo isticmaalaya Wscript.Shell si ay u socodsiiso summada PowerShell. By habka, JavaScript laftiisa waa
Xaaladeena, qoraalka JS xaasidnimada leh wuxuu u guntan yahay fayl ahaan .doc.js kordhinta. Daaqadaha ayaa sida caadiga ah muujin doona kaliya daba-galka koowaad, markaa waxay dhibbanaha ugu muuqan doontaa dukumeenti Word ah.
Astaanta JS waxa ay ka muuqataa kaliya sumadda duuduubka. La yaab maaha in dad badan ay furaan lifaaqan iyagoo u malaynaya inay tahay dukumeenti Word ah.
Tusaalahayga, waxaan wax ka beddelay PowerShell-ka sare si aan uga soo dejiyo qoraalka degelkayga. Qoraalka fog ee PS wuxuu daabacaa "Evil Malware". Sida aad arki karto, isaguba ma xuma. Dabcan, tuugada dhabta ah waxay xiiseynayaan helitaanka laptop ama server, dheh, iyada oo loo marayo qolofka taliska. Maqaalka soo socda, waxaan ku tusi doonaa sida tan loo sameeyo adoo isticmaalaya PowerShell Empire.
Waxaan rajeynayaa in maqaalka hordhaca ah ee ugu horreeya aynaan si qoto dheer u gelin mawduuca. Hadda waxaan kuu oggolaan doonaa inaad neefsato, marka xigta waxaan bilaabi doonaa inaan eegno tusaalooyinka dhabta ah ee weerarrada iyadoo la adeegsanayo malware-ka aan fileyn iyada oo aan la helin ereyo hordhac ah ama diyaargarow aan loo baahnayn.
Source: www.habr.com