Me këtë artikull ne fillojmë një seri botimesh rreth malware të pakapshëm. Programet e hakerimit pa skedarë, të njohur gjithashtu si programe hakerimi pa skedarë, zakonisht përdorin PowerShell në sistemet Windows për të ekzekutuar në heshtje komandat për të kërkuar dhe nxjerrë përmbajtje të vlefshme. Zbulimi i aktivitetit të hakerëve pa skedarë me qëllim të keq është një detyrë e vështirë, sepse... antiviruset dhe shumë sisteme të tjera zbulimi funksionojnë bazuar në analizën e nënshkrimit. Por lajmi i mirë është se një softuer i tillë ekziston. Për shembull,
Kur fillova për herë të parë të hulumtoj temën e hakerëve të këqij,
PowerShell i madh dhe i fuqishëm
Unë kam shkruar për disa nga këto ide më parë në
Përveç vetë mostrave, në faqe mund të shihni se çfarë bëjnë këto programe. Analiza hibride ekzekuton malware në sandboxin e vet dhe monitoron thirrjet e sistemit, proceset e ekzekutimit dhe aktivitetin e rrjetit dhe nxjerr vargjet e dyshimta të tekstit. Për binarët dhe skedarët e tjerë të ekzekutueshëm, d.m.th. ku nuk mund të shikoni as kodin aktual të nivelit të lartë, analiza hibride vendos nëse softueri është me qëllim të keq apo thjesht i dyshimtë bazuar në aktivitetin e tij në kohën e ekzekutimit. Dhe pas kësaj mostra tashmë është vlerësuar.
Në rastin e PowerShell dhe skripteve të tjera të mostrës (Visual Basic, JavaScript, etj.), Unë munda të shikoja vetë kodin. Për shembull, hasa në këtë shembull PowerShell:
Ju gjithashtu mund të ekzekutoni PowerShell në kodimin base64 për të shmangur zbulimin. Vini re përdorimin e parametrave jondërveprues dhe të fshehur.
Nëse i keni lexuar postimet e mia mbi turbullimin, atëherë e dini që opsioni -e specifikon që përmbajtja është e koduar në bazë64. Nga rruga, analiza hibride gjithashtu ndihmon për këtë duke deshifruar gjithçka përsëri. Nëse dëshironi të provoni të deshifroni vetë base64 PowerShell (në tekstin e mëtejmë PS), duhet të ekzekutoni këtë komandë:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Shkoni më thellë
Unë deshifrova skriptin tonë PS duke përdorur këtë metodë, më poshtë është teksti i programit, megjithëse pak i modifikuar nga unë:
Vini re se skripti ishte i lidhur me datën 4 shtator 2017 dhe transmetonte kukit e sesionit.
Kam shkruar për këtë stil sulmi në
Çfarë do të bëni?
Për softuerin e sigurisë që skanon regjistrat e ngjarjeve ose muret e zjarrit të Windows, kodimi base64 parandalon zbulimin e vargut "WebClient" nga një model teksti i thjeshtë për të mbrojtur kundër bërjes së një kërkese të tillë në ueb. Dhe meqenëse e gjithë "e keqja" e malware më pas shkarkohet dhe kalohet në PowerShell tonë, kjo qasje na lejon të shmangim plotësisht zbulimin. Ose më mirë, kështu mendova në fillim.
Rezulton se me aktivizimin e regjistrimit të avancuar të Windows PowerShell (shih artikullin tim), do të mund të shihni rreshtin e ngarkuar në regjistrin e ngjarjeve. Unë jam si
Le të shtojmë skenarë shtesë
Hakerët fshehin me zgjuarsi sulmet e PowerShell në makrot e Microsoft Office të shkruara në Visual Basic dhe gjuhë të tjera skriptimi. Ideja është që viktima të marrë një mesazh, për shembull nga një shërbim shpërndarjeje, me një raport të bashkangjitur në formatin .doc. Ju hapni këtë dokument që përmban makro, dhe ai përfundon duke nisur vetë PowerShell-in keqdashës.
Shpesh vetë skripti i Visual Basic është i turbullt në mënyrë që t'i shmanget lirisht antiviruseve dhe skanerëve të tjerë malware. Në frymën e sa më sipër, vendosa të kodoj PowerShell-in e mësipërm në JavaScript si një ushtrim. Më poshtë janë rezultatet e punës sime:
JavaScript i turbullt duke fshehur PowerShell-in tonë. Hakerët e vërtetë e bëjnë këtë një ose dy herë.
Kjo është një teknikë tjetër që kam parë të qarkullojë nëpër ueb: duke përdorur Wscript.Shell për të ekzekutuar PowerShell të koduar. Nga rruga, vetë JavaScript është
Në rastin tonë, skripti me qëllim të keq JS është ngulitur si një skedar me shtesën .doc.js. Windows zakonisht do të shfaqë vetëm prapashtesën e parë, kështu që ajo do t'i shfaqet viktimës si një dokument Word.
Ikona JS shfaqet vetëm në ikonën e lëvizjes. Nuk është për t'u habitur që shumë njerëz do ta hapin këtë bashkëngjitje duke menduar se është një dokument Word.
Në shembullin tim, modifikova PowerShell më sipër për të shkarkuar skriptin nga faqja ime e internetit. Skripti i largët PS thjesht printon "Evil Malware". Siç mund ta shihni, ai nuk është aspak i keq. Natyrisht, hakerat e vërtetë janë të interesuar të kenë akses në një laptop ose server, të themi, përmes një guaskë komande. Në artikullin tjetër, unë do t'ju tregoj se si ta bëni këtë duke përdorur PowerShell Empire.
Shpresoj që për artikullin e parë hyrës të mos jemi zhytur shumë thellë në temë. Tani do t'ju lë të merrni frymë dhe herën tjetër do të fillojmë të shikojmë shembuj realë të sulmeve duke përdorur malware pa skedarë pa ndonjë fjalë hyrëse ose përgatitje të panevojshme.
Burimi: www.habr.com