Овим чланком почињемо серију публикација о неухватљивом малверу. Програми за хаковање без датотека, такође познати као програми за хаковање без датотека, обично користе ПоверСхелл на Виндовс системима за тихо покретање команди за тражење и издвајање вредног садржаја. Откривање хакерске активности без злонамерних датотека је тежак задатак, јер... антивируси и многи други системи за детекцију раде на основу анализе потписа. Али добра вест је да такав софтвер постоји. На пример, , способан да открије злонамерне активности у системима датотека.
Када сам први пут почео да истражујем тему лоших хакера, , већ само алати и софтвер доступни на жртвином рачунару, нисам имао појма да ће ово ускоро постати популаран метод напада. Сецурити Профессионалс да ово постаје тренд, и - потврда овога. Стога сам одлучио да направим серију публикација на ову тему.
Велики и моћни ПоверСхелл
Већ сам писао о неким од ових идеја у , али више заснован на теоријском концепту. Касније сам наишао , где можете пронаћи узорке малвера „ухваћених“ у дивљини. Одлучио сам да покушам да користим ову локацију да пронађем узорке малвера без датотека. И успео сам. Успут, ако желите да кренете у сопствену експедицију у потрази за малвером, мораћете да будете верификовани на овој веб локацији како би знали да радите посао као стручњак за беле шешире. Као безбедносни блогер, прошао сам га без питања. Сигуран сам да и ти можеш.
Поред самих узорака, на сајту можете видети шта раде ови програми. Хибридна анализа покреће малвер у сопственом сандбок-у и надгледа системске позиве, покренуте процесе и мрежну активност и издваја сумњиве текстуалне низове. За бинарне и друге извршне датотеке, тј. где не можете чак ни да погледате стварни код високог нивоа, хибридна анализа одлучује да ли је софтвер злонамеран или само сумњив на основу његове активности током извршавања. И након тога се узорак већ оцењује.
У случају ПоверСхелл-а и других примера скрипти (Висуал Басиц, ЈаваСцрипт, итд.), могао сам да видим сам код. На пример, наишао сам на ову ПоверСхелл инстанцу:
Такође можете покренути ПоверСхелл у басе64 кодирању да бисте избегли откривање. Обратите пажњу на употребу неинтерактивних и скривених параметара.
Ако сте читали моје постове о замагљивању, онда знате да опција -е наводи да је садржај кодиран басе64. Иначе, хибридна анализа такође помаже у томе тако што све декодира назад. Ако желите сами да покушате да декодујете басе64 ПоверСхелл (у даљем тексту ПС), потребно је да покренете ову команду:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Дубље
Декодирао сам нашу ПС скрипту користећи овај метод, испод је текст програма, иако сам ја мало изменио:
Имајте на уму да је скрипта била везана за датум 4. септембар 2017. и пренела колачиће сесије.
Писао сам о овом стилу напада у , у којој се сама басе64 кодирана скрипта учитава недостаје малвер са друге локације, користећи ВебЦлиент објекат библиотеке .Нет Фрамеворк за обављање тешког посла.
Шта он ради?
За безбедносни софтвер који скенира Виндовс евиденције догађаја или заштитне зидове, басе64 кодирање спречава да се стринг „ВебЦлиент“ открије помоћу обрасца обичног текста да би се заштитио од таквог веб захтева. А пошто се сво „зло“ злонамерног софтвера затим преузима и прослеђује у наш ПоверСхелл, овај приступ нам тако омогућава да у потпуности избегнемо откривање. Или боље речено, то сам у почетку мислио.
Испоставило се да ћете са омогућеним Виндовс ПоверСхелл напредним евидентирањем (погледајте мој чланак) моћи да видите учитани ред у евиденцији догађаја. Ја сам као ) Мислим да би Мицрософт подразумевано требало да омогући овај ниво евидентирања. Стога, када је омогућено проширено евидентирање, видећемо у Виндовс евиденцији догађаја завршен захтев за преузимање из ПС скрипте у складу са примером о којем смо горе говорили. Стога, има смисла да га активирате, зар се не слажете?
Хајде да додамо додатне сценарије
Хакери вешто сакривају ПоверСхелл нападе у Мицрософт Оффице макроима написаним у Висуал Басиц-у и другим скрипт језицима. Идеја је да жртва добије поруку, на пример од доставне службе, са приложеним извештајем у .доц формату. Отворите овај документ који садржи макро, а он на крају покреће сам злонамерни ПоверСхелл.
Често је сама Висуал Басиц скрипта замагљена тако да слободно избегава антивирусне и друге скенере малвера. У духу горе наведеног, одлучио сам да кодирам горњи ПоверСхелл у ЈаваСцрипт-у као вежбу. Испод су резултати мог рада:
Замагљени ЈаваСцрипт који скрива наш ПоверСхелл. Прави хакери то раде једном или двапут.
Ово је још једна техника коју сам видео како лебди по мрежи: коришћење Всцрипт.Схелл-а за покретање кодираног ПоверСхелл-а. Иначе, сам ЈаваСцрипт јесте испорука злонамерног софтвера. Многе верзије Виндовс-а имају уграђену функцију , који и сам може да покреће ЈС.
У нашем случају, злонамерна ЈС скрипта је уграђена као датотека са екстензијом .доц.јс. Виндовс обично приказује само први суфикс, тако да ће се жртви појавити као Ворд документ.
ЈС икона се појављује само у икони за померање. Није изненађујуће што ће многи људи отворити овај прилог мислећи да је реч о Ворд документу.
У мом примеру, изменио сам ПоверСхелл изнад да преузмем скрипту са моје веб локације. Удаљена ПС скрипта само штампа "Евил Малваре". Као што видите, он уопште није зао. Наравно, прави хакери су заинтересовани да добију приступ лаптопу или серверу, рецимо, преко командне љуске. У следећем чланку ћу вам показати како да то урадите користећи ПоверСхелл Емпире.
Надам се да за први уводни чланак нисмо превише заронили у тему. Сада ћу вас пустити да удахнете, а следећи пут ћемо почети да гледамо стварне примере напада помоћу малвера без датотека без икаквих непотребних уводних речи или припреме.
Извор: ввв.хабр.цом