Ka sengoloa sena re qala letoto la likhatiso tse mabapi le malware a sa bonahaleng. Mananeo a ho qhekella a se nang lifaele, a tsejoang hape e le mananeo a ho qhekella a se nang lifaele, hangata a sebelisa PowerShell ho sistimi ea Windows ho tsamaisa litaelo ka khutso ho batla le ho ntša litaba tsa bohlokoa. Ho bona ts'ebetso ea hacker ntle le lifaele tse mpe ke mosebetsi o boima, hobane ... li-antivirus le lisebelisoa tse ling tse ngata tsa ho lemoha li sebetsa ho ipapisitse le tlhahlobo ea ho saena. Empa litaba tse monate ke hore software e joalo e teng. Ka mohlala, , e khonang ho bona ts'ebetso e mpe lits'ebetsong tsa lifaele.
Ha ke qala ho etsa lipatlisiso ka taba ea li-hackers tse mpe, , empa ke feela lisebelisoa le mananeo a fumanehang k’homphieutheng ea mohlaseluoa, ke ne ke sa tsebe hore haufinyane sena se ne se tla fetoha mokhoa o tummeng oa tlhaselo. Litsebi tsa Tšireletso hore sena se fetoha mokhoa, le - netefatso ea sena. Ka hona, ke ile ka etsa qeto ea ho etsa letoto la lingoliloeng tse buang ka taba ena.
PowerShell e kholo le e matla
Ke ngotse ka tse ling tsa mehopolo ena pele ho , empa ho feta tse thehiloeng khopolong ea khopolo-taba. Hamorao ke ile ka bona , moo u ka fumanang lisampole tsa malware "tse tšoeroeng" naheng. Ke nkile qeto ea ho leka ho sebelisa sebaka sena sa marang-rang ho fumana mehlala ea malware a se nang faele. Mme ke ile ka atleha. Ha e le hantle, haeba u batla ho ea leetong la hau la ho tsoma malware, u tla tlameha ho netefatsoa ke sebaka sena sa marang-rang hore ba tsebe hore u ntse u etsa mosebetsi ona joalo ka setsebi sa likatiba tse tšoeu. Joaloka blogger ea ts'ireletso, ke e fetisitse ntle le potso. Kea kholoa le uena u ka khona.
Ntle le lisampole ka botsona, setšeng u ka bona seo mananeo ana a se etsang. Tlhahlobo ea Hybrid e tsamaisa malware ka har'a sandbox ea eona mme e shebella mehala ea sistimi, lits'ebetso tse tsamaisang le ts'ebetso ea marang-rang, 'me e ntša likhoele tse belaetsang. Bakeng sa li-binary le lifaele tse ling tse ka phethisoang, i.e. moo o sa khoneng le ho sheba khoutu ea nnete ea boemo bo holimo, tlhahlobo e nyalisitsoeng e etsa qeto ea hore na software e kotsi kapa e belaella feela ho latela ts'ebetso ea eona ea nako ea ho sebetsa. 'Me ka mor'a moo sampole e se e hlahlojoa.
Tabeng ea PowerShell le mangolo a mang a mohlala (Visual Basic, JavaScript, joalo-joalo), ke khonne ho bona khoutu ka boeona. Mohlala, ke bone mohlala ona oa PowerShell:
U ka sebelisa PowerShell ho encoding ea base64 ho qoba ho fumanoa. Hlokomela tšebeliso ea li-parameter tse sa sebetseng le tse patiloeng.
Haeba u balile lipehelo tsa ka mabapi le obfuscation, joale ua tseba hore khetho ea -e e bolela hore litaba li ngotsoe ke base64. Ka tsela, tlhahlobo ea lebasetere le eona e thusa ka sena ka ho hlophisa ntho e ngoe le e ngoe morao. Haeba u batla ho leka ho khetholla base64 PowerShell (eo ka mor'a moo e bitsoang PS) ka bouena, u hloka ho tsamaisa taelo ena:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Kena botebong
Ke khethile script ea rona ea PS ke sebelisa mokhoa ona, ka tlase ke mongolo oa lenaneo, leha ke fetotsoe hanyane ke nna:
Hlokomela hore sengoloa se hokahane le letsatsi la 4 Loetse, 2017 mme se fetiselitsoe li-cookie tsa nako.
Ke ngotse ka mokhoa ona oa tlhaselo ka , moo mongolo oa base64 o kentsoeng ka bo oona o jarang e hlokang malware ho tsoa sebakeng se seng, ho sebelisa sesebelisoa sa WebClient sa .Net Framework library ho phahamisa lintho tse boima.
Ho se etsa?
Bakeng sa software ea ts'ireletso e hlahlobang li-log tsa liketsahalo tsa Windows kapa li-firewall, base64 encoding e thibela khoele ea "WebClient" ho bonoa ke mokhoa o hlakileng oa mongolo ho itšireletsa khahlanong le ho etsa kopo e joalo ea webo. 'Me kaha "bobe" bohle ba malware bo tlosoa ebe bo fetisetsoa ho PowerShell ea rona, mokhoa ona o re lumella ho qoba ho fumanoa ka ho feletseng. Kapa ho fapana le hoo, ke seo ke neng ke se nahana qalong.
Hoa fumaneha hore ka Windows PowerShell Advanced Logging e nolofalitsoeng (bona sengoloa sa ka), u tla khona ho bona mohala o kentsoeng lethathamong la liketsahalo. Ke tšoana le ) Ke nahana hore Microsoft e lokela ho nolofalletsa boemo bona ba ho rema lifate ka ho sa feleng. Ka hona, ha ho rengoa ha lifate nako e telele ho nolofalitsoe, re tla bona lethathamong la ketsahalo ea Windows kopo e phethiloeng ea ho jarolla ho tsoa ho sengoloa sa PS ho latela mohlala oo re o tšohlileng ka holimo. Ka hona, hoa utloahala ho e kenya tšebetsong, na ha u lumele?
Ha re eketse maemo a eketsehileng
Basenyi ba pata litlhaselo tsa PowerShell ka bohlale ho li-macros tsa Microsoft Office tse ngotsoeng ka Visual Basic le lipuo tse ling tsa mongolo. Maikutlo ke hore motho ea hlokofalitsoeng o fumana molaetsa, ka mohlala ho tsoa tšebeletsong ea phano, ka tlaleho e khomaretsoeng ka mokhoa oa .doc. U bula tokomane ena e nang le macro, 'me e qetella e hlahisa PowerShell e kotsi ka boeona.
Hangata script ea Visual Basic ka boeona e fifala hoo e ka qobang li-antivirus le lisebelisoa tse ling tsa malware. Ka moea oa se kaholimo, ke nkile qeto ea ho khouta PowerShell e kaholimo ho JavaScript e le boikoetliso. Ka tlase ke liphetho tsa mosebetsi oa ka:
JavaScript e senyehileng e patile PowerShell ea rona. Basomi ba 'nete ba etsa sena hang kapa habeli.
Ena ke mokhoa o mong oo ke o boneng o phaphamala ho potoloha tepo: ho sebelisa Wscript.Shell ho tsamaisa PowerShell ea khoutu. Ka tsela, JavaScript ka boeona e tlhahiso ea malware. Liphetolelo tse ngata tsa Windows li na le tse hahelletsoeng , eo ka boeona e ka tsamaisang JS.
Tabeng ea rona, mongolo o kotsi oa JS o kentsoe joalo ka faele e nang le katoloso ea .doc.js. Windows hangata e tla bonts'a suffix ea pele feela, kahoo e tla hlaha ho motho ea hlokofalitsoeng joalo ka tokomane ea Lentsoe.
Letšoao la JS le hlaha feela aekhoneng ea moqolo. Ha ho makatse hore ebe batho ba bangata ba tla bula sehokelo sena ba nahana hore ke tokomane ea Lentsoe.
Mohlala oa ka, ke fetotse PowerShell ka holimo ho khoasolla sengoloa ho webosaete ea ka. Sengoliloeng sa PS se hole se hatisa feela "Malware e Mebe". Joalokaha u ka bona, ha a khopo ho hang. Ehlile, barekisi ba nnete ba na le thahasello ea ho fumana phihlello ea laptop kapa seva, re re, ka khetla ea taelo. Sehloohong se latelang, ke tla u bontša mokhoa oa ho etsa sena u sebelisa PowerShell Empire.
Ke tšepa hore sengoloa sa pele sa selelekela ha rea ka ra qoela ka botebo sehloohong sena. Joale ke tla u tlohella hore u phomole, 'me nakong e tlang re tla qala ho sheba mehlala ea litlhaselo tse sebelisang malware a se nang faele ntle le mantsoe a selelekela a sa hlokahaleng kapa boitokisetso.
Source: www.habr.com