Ka sengoloa sena re qala letoto la likhatiso tse mabapi le malware a sa bonahaleng. Mananeo a ho qhekella a se nang lifaele, a tsejoang hape e le mananeo a ho qhekella a se nang lifaele, hangata a sebelisa PowerShell ho sistimi ea Windows ho tsamaisa litaelo ka khutso ho batla le ho ntša litaba tsa bohlokoa. Ho bona ts'ebetso ea hacker ntle le lifaele tse mpe ke mosebetsi o boima, hobane ... li-antivirus le lisebelisoa tse ling tse ngata tsa ho lemoha li sebetsa ho ipapisitse le tlhahlobo ea ho saena. Empa litaba tse monate ke hore software e joalo e teng. Ka mohlala,
Ha ke qala ho etsa lipatlisiso ka taba ea li-hackers tse mpe,
PowerShell e kholo le e matla
Ke ngotse ka tse ling tsa mehopolo ena pele ho
Ntle le lisampole ka botsona, setšeng u ka bona seo mananeo ana a se etsang. Tlhahlobo ea Hybrid e tsamaisa malware ka har'a sandbox ea eona mme e shebella mehala ea sistimi, lits'ebetso tse tsamaisang le ts'ebetso ea marang-rang, 'me e ntša likhoele tse belaetsang. Bakeng sa li-binary le lifaele tse ling tse ka phethisoang, i.e. moo o sa khoneng le ho sheba khoutu ea nnete ea boemo bo holimo, tlhahlobo e nyalisitsoeng e etsa qeto ea hore na software e kotsi kapa e belaella feela ho latela ts'ebetso ea eona ea nako ea ho sebetsa. 'Me ka mor'a moo sampole e se e hlahlojoa.
Tabeng ea PowerShell le mangolo a mang a mohlala (Visual Basic, JavaScript, joalo-joalo), ke khonne ho bona khoutu ka boeona. Mohlala, ke bone mohlala ona oa PowerShell:
U ka sebelisa PowerShell ho encoding ea base64 ho qoba ho fumanoa. Hlokomela tšebeliso ea li-parameter tse sa sebetseng le tse patiloeng.
Haeba u balile lipehelo tsa ka mabapi le obfuscation, joale ua tseba hore khetho ea -e e bolela hore litaba li ngotsoe ke base64. Ka tsela, tlhahlobo ea lebasetere le eona e thusa ka sena ka ho hlophisa ntho e ngoe le e ngoe morao. Haeba u batla ho leka ho khetholla base64 PowerShell (eo ka mor'a moo e bitsoang PS) ka bouena, u hloka ho tsamaisa taelo ena:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Kena botebong
Ke khethile script ea rona ea PS ke sebelisa mokhoa ona, ka tlase ke mongolo oa lenaneo, leha ke fetotsoe hanyane ke nna:
Hlokomela hore sengoloa se hokahane le letsatsi la 4 Loetse, 2017 mme se fetiselitsoe li-cookie tsa nako.
Ke ngotse ka mokhoa ona oa tlhaselo ka
Ho se etsa?
Bakeng sa software ea ts'ireletso e hlahlobang li-log tsa liketsahalo tsa Windows kapa li-firewall, base64 encoding e thibela khoele ea "WebClient" ho bonoa ke mokhoa o hlakileng oa mongolo ho itšireletsa khahlanong le ho etsa kopo e joalo ea webo. 'Me kaha "bobe" bohle ba malware bo tlosoa ebe bo fetisetsoa ho PowerShell ea rona, mokhoa ona o re lumella ho qoba ho fumanoa ka ho feletseng. Kapa ho fapana le hoo, ke seo ke neng ke se nahana qalong.
Hoa fumaneha hore ka Windows PowerShell Advanced Logging e nolofalitsoeng (bona sengoloa sa ka), u tla khona ho bona mohala o kentsoeng lethathamong la liketsahalo. Ke tšoana le
Ha re eketse maemo a eketsehileng
Basenyi ba pata litlhaselo tsa PowerShell ka bohlale ho li-macros tsa Microsoft Office tse ngotsoeng ka Visual Basic le lipuo tse ling tsa mongolo. Maikutlo ke hore motho ea hlokofalitsoeng o fumana molaetsa, ka mohlala ho tsoa tšebeletsong ea phano, ka tlaleho e khomaretsoeng ka mokhoa oa .doc. U bula tokomane ena e nang le macro, 'me e qetella e hlahisa PowerShell e kotsi ka boeona.
Hangata script ea Visual Basic ka boeona e fifala hoo e ka qobang li-antivirus le lisebelisoa tse ling tsa malware. Ka moea oa se kaholimo, ke nkile qeto ea ho khouta PowerShell e kaholimo ho JavaScript e le boikoetliso. Ka tlase ke liphetho tsa mosebetsi oa ka:
JavaScript e senyehileng e patile PowerShell ea rona. Basomi ba 'nete ba etsa sena hang kapa habeli.
Ena ke mokhoa o mong oo ke o boneng o phaphamala ho potoloha tepo: ho sebelisa Wscript.Shell ho tsamaisa PowerShell ea khoutu. Ka tsela, JavaScript ka boeona e
Tabeng ea rona, mongolo o kotsi oa JS o kentsoe joalo ka faele e nang le katoloso ea .doc.js. Windows hangata e tla bonts'a suffix ea pele feela, kahoo e tla hlaha ho motho ea hlokofalitsoeng joalo ka tokomane ea Lentsoe.
Letšoao la JS le hlaha feela aekhoneng ea moqolo. Ha ho makatse hore ebe batho ba bangata ba tla bula sehokelo sena ba nahana hore ke tokomane ea Lentsoe.
Mohlala oa ka, ke fetotse PowerShell ka holimo ho khoasolla sengoloa ho webosaete ea ka. Sengoliloeng sa PS se hole se hatisa feela "Malware e Mebe". Joalokaha u ka bona, ha a khopo ho hang. Ehlile, barekisi ba nnete ba na le thahasello ea ho fumana phihlello ea laptop kapa seva, re re, ka khetla ea taelo. Sehloohong se latelang, ke tla u bontša mokhoa oa ho etsa sena u sebelisa PowerShell Empire.
Ke tšepa hore sengoloa sa pele sa selelekela ha rea ka ra qoela ka botebo sehloohong sena. Joale ke tla u tlohella hore u phomole, 'me nakong e tlang re tla qala ho sheba mehlala ea litlhaselo tse sebelisang malware a se nang faele ntle le mantsoe a selelekela a sa hlokahaleng kapa boitokisetso.
Source: www.habr.com