Maqaalkan waxaan ku bilaabaynaa daabacaado taxane ah oo ku saabsan malware-ka qarsoon. Barnaamijyada jabsiga aan fileyn, sidoo kale loo yaqaan barnaamijyada jabsiga file-la'aanta ah, sida caadiga ah waxay isticmaalaan PowerShell nidaamyada Windows si ay aamusnaan ugu socodsiiyaan amarada si loo raadiyo loogana soo saaro nuxurka qiimaha leh. Ogaanshaha dhaqdhaqaaqa hacker-ka iyada oo aan la helin faylal xaasidnimo ah waa hawl adag, sababtoo ah... Antiviruses iyo habab kale oo ogaanshaha oo badan ayaa ku shaqeeya falanqaynta saxeexa. Laakiin warka wanaagsan ayaa ah in software-ka noocaas ahi uu jiro. Tusaale ahaan, , awood u leh inuu ogaado dhaqdhaqaaqa xaasidnimada ah ee nidaamyada faylka.
Markii ugu horeysay ee aan bilaabay baaritaanka mawduuca hackers-ka badass, , laakiin kaliya qalabka iyo software-ka laga heli karo kombayutarka dhibbanaha, maan wax fikrad ah u lahayn in tani ay dhawaan noqon doonto habka caanka ah ee weerarka. Xirfadlayaasha Amniga in tani ay noqonayso isbeddel, iyo - xaqiijinta tan. Sidaa darteed, waxaan go'aansaday inaan sameeyo qoraallo taxane ah oo ku saabsan mawduucan.
Awoodda Weyn ee Awoodda leh
Waxaan hore uga qoray qaar ka mid ah fikradahan , laakiin in ka badan oo ku salaysan fikrad fikradeed. Ka dib ayaan la kulmay , halkaas oo aad ka heli karto muunado malware ah "la qabsaday" duurka. Waxaan go'aansaday inaan isku dayo isticmaalka boggan si aan u helo muunado malware-la'aan ah. Waana ku guulaystay. By habka, haddii aad rabto in aad tagto on your gaar ah ugaadhsiga ugaarsiga malware, waxaad yeelan doontaa in ay xaqiijiyaan by this site si ay u ogaadaan in aad samaynayso shaqada sida khabiir koofiyad cad. Sida blogger amniga ah, waxaan ku gudbiyay su'aal la'aan. Waan hubaa inaad adiguna awooddo.
Marka lagu daro muunada laftooda, goobta waxaad ka arki kartaa waxay qabtaan barnaamijyadani. Falanqaynta isku-dhafka ah waxay ku shaqeysaa malware-ka sanduuqa bacaadka ah waxayna la socotaa wicitaanada nidaamka, socodsiinta howlaha iyo dhaqdhaqaaqa shabakada, waxayna soo saartaa xargaha qoraalka ee shakiga leh. Binaariyada iyo faylalka kale ee la fulin karo, i.e. meesha aadan xitaa fiirin karin koodka heerka sare ee dhabta ah, falanqaynta isku-dhafka ah ayaa go'aamisa in software-ku xaasidnimo yahay ama kaliya laga shakiyo oo ku salaysan hawlihiisa runtime. Kadibna muunada mar hore ayaa la qiimeeyay.
Xaaladda PowerShell iyo qoraallada muunadda kale (Visual Basic, JavaScript, iwm.), waxaan awooday inaan arko koodka laftiisa. Tusaale ahaan, waxaan la kulmay tusaale ahaan PowerShell:
Waxa kale oo aad ku socodsiin kartaa PowerShell in base64 codeing si aad uga fogaato in la ogaado. Ogsoonow isticmaalka xuduudaha aan is-dhexgal lahayn iyo kuwa qarsoon.
Haddii aad akhriday qoraalladayda ku saabsan indho-shareerka, markaa waxaad ogtahay in -e-ikhtiyaarka uu qeexayo in nuxurku yahay base64 encoded. Jid ahaan, falanqaynta isku-dhafka ah ayaa sidoo kale ka caawisa tan iyada oo wax walba dib u dejinaysa. Haddii aad rabto inaad isku daydo inaad dejiso base64 PowerShell (oo hadda loo yaqaan PS) naftaada, waxaad u baahan tahay inaad socodsiiso amarkan:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Hoos u sii wad
Waxaan hab-qodobiyay qoraalkayaga PS-ga anigoo isticmaalaya habkan, hoos waa qoraalka barnaamijka, in kastoo aniga wax yar wax ka beddelay:
Ogsoonow in qoraalku uu ku xidhnaa taariikhda Sebtembar 4, 2017 iyo cookies-ka fadhiga la gudbiyay.
Waxaan wax ka qoray qaabkan weerarka ah , kaas oo saldhigga64 ee ku lifaaqan qoraalka laftiisa uu ku raran yahay maqan malware-ka ka yimid goob kale, iyadoo la isticmaalayo .Net Framework maktabadda shaygaClient WebClient si uu u sameeyo qaadista culus.
Tan maxaa loogu talagalay?
Si loo baadho software-ka badbaadada galmoodka dhacdooyinka Windows ama dab-damiska, base64 encoding waxay ka ilaalisaa xadhiga "WebClient" in lagu ogaado qaab qoraal ah oo cad si looga ilaaliyo samaynta codsiga shabakadda. Iyo mar haddii dhammaan "xun" malware-ka la soo dejiyo oo loo gudbiyo PowerShell, habkani wuxuu noo ogolaanayaa inaan si buuxda uga baxsanno ogaanshaha. Ama halkii, taasi waa waxa aan ku fikiray markii hore.
Waxay soo baxday in Windows PowerShell Logging Advanced Logging karti u leh (eeg maqaalkayga), waxaad awoodi doontaa inaad ku aragto xariiqda la raray ee log dhacdada. waxaan ahay sida Waxaan u maleynayaa in Microsoft ay awood u siiso heerkan gelitaanka si caadi ah. Sidaa darteed, iyada oo la kordhinayo qoritaanka, waxaan ku arki doonaa dhacdada Windows log codsi soo dejineed oo dhameystiran oo ka yimid qoraalka PS sida ku cad tusaalaha aan kor kaga soo hadalnay. Sidaa darteed, waxay macno samaynaysaa in la dhaqaajiyo, miyaadan ogolayn?
Aynu ku darno xaalado dheeraad ah
Hackers-ku waxay si caqli-gal ah ugu qariyaan weerarrada PowerShell macrosyada Office-ka ee ku qoran Visual Basic iyo luqadaha kale ee qoraalka. Fikradda ayaa ah in dhibbanuhu uu helo farriin, tusaale ahaan adeegga gaarsiinta, oo leh warbixin ku lifaaqan qaabka .doc. Waxaad furaysaa dukumeentiga uu ka kooban yahay makro, oo wuxuu ku dhamaanayaa inuu bilaabo PowerShell laftiisa.
Badanaa qoraalka Visual Basic laftiisa waa la daboolaa si uu si xor ah uga fogaado fayraska iyo iskaannada kale ee malware. Ruuxa kore, waxaan go'aansaday in aan ku codeeyo PowerShell-ka kore ee JavaScript layli ahaan. Hoos waxaa ku yaal natiijooyinka shaqadayda:
JavaScript qarsoon oo qarinaysa PowerShellkeena. Hackers-ka dhabta ah ayaa tan sameeya hal ama laba jeer.
Tani waa farsamo kale oo aan ku arkay iyada oo dul sabaynaysa shabakada: addoo isticmaalaya Wscript.Shell si ay u socodsiiso summada PowerShell. By habka, JavaScript laftiisa waa gaarsiinta malware. Noocyo badan oo Windows ah ayaa lagu dhex dhisay , kaas oo laftiisa ku socon kara JS.
Xaaladeena, qoraalka JS xaasidnimada leh wuxuu u guntan yahay fayl ahaan .doc.js kordhinta. Daaqadaha ayaa sida caadiga ah muujin doona kaliya daba-galka koowaad, markaa waxay dhibbanaha ugu muuqan doontaa dukumeenti Word ah.
Astaanta JS waxa ay ka muuqataa kaliya sumadda duuduubka. La yaab maaha in dad badan ay furaan lifaaqan iyagoo u malaynaya inay tahay dukumeenti Word ah.
Tusaalahayga, waxaan wax ka beddelay PowerShell-ka sare si aan uga soo dejiyo qoraalka degelkayga. Qoraalka fog ee PS wuxuu daabacaa "Evil Malware". Sida aad arki karto, isaguba ma xuma. Dabcan, tuugada dhabta ah waxay xiiseynayaan helitaanka laptop ama server, dheh, iyada oo loo marayo qolofka taliska. Maqaalka soo socda, waxaan ku tusi doonaa sida tan loo sameeyo adoo isticmaalaya PowerShell Empire.
Waxaan rajeynayaa in maqaalka hordhaca ah ee ugu horreeya aynaan si qoto dheer u gelin mawduuca. Hadda waxaan kuu oggolaan doonaa inaad neefsato, marka xigta waxaan bilaabi doonaa inaan eegno tusaalooyinka dhabta ah ee weerarrada iyadoo la adeegsanayo malware-ka aan fileyn iyada oo aan la helin ereyo hordhac ah ama diyaargarow aan loo baahnayn.
Source: www.habr.com