Kalayan tulisan ieu kami ngamimitian séri publikasi ngeunaan malware anu hese dihartikeun. Program hacking tanpa file, ogé katelah program hacking tanpa file, biasana nganggo PowerShell dina sistem Windows pikeun cicingeun ngajalankeun paréntah pikeun milarian sareng nimba eusi anu berharga. Ngadeteksi kagiatan hacker tanpa file jahat mangrupikeun tugas anu sesah, sabab ... antipirus sareng seueur sistem deteksi anu sanés dianggo dumasar kana analisa tandatangan. Tapi warta anu saé nyaéta yén parangkat lunak sapertos kitu aya. Salaku conto, , sanggup ngadeteksi kagiatan jahat dina sistem file.
Nalika kuring mimiti nalungtik topik hacker badass, , Tapi ngan parabot jeung software sadia dina komputer korban, Kuring teu boga pamanggih yén ieu bakal pas jadi metoda populér tina serangan. Profesional Kaamanan yén ieu jadi trend, jeung - konfirmasi ieu. Ku alatan éta, kuring mutuskeun pikeun nyieun runtuyan publikasi ngeunaan topik ieu.
The Great jeung PowerShell PowerShell
Kuring geus ditulis ngeunaan sababaraha gagasan ieu sateuacan di , tapi leuwih dumasar kana konsép téoritis. Engké kuring datang , dimana anjeun tiasa manggihan sampel malware "bray" di alam liar. Kuring mutuskeun pikeun nyobaan ngagunakeun situs ieu pikeun manggihan sampel malware fileless. Sareng kuring suksés. Ku jalan kitu, upami anjeun hoyong ngiringan ekspedisi moro malware anjeun nyalira, anjeun kedah diverifikasi ku situs ieu supados aranjeunna terang yén anjeun damel salaku spesialis topi bodas. Salaku blogger kaamanan, kuring lulus tanpa patarosan. Kuring yakin anjeun ogé tiasa.
Salian conto sorangan, dina situs anjeun tiasa ningali naon anu dilakukeun ku program ieu. Analisis hibrid ngajalankeun malware dina kotak pasir sorangan sareng ngawaskeun telepon sistem, prosés sareng kagiatan jaringan, sareng ékstrak senar téks anu curiga. Pikeun binari sareng file anu tiasa dieksekusi, nyaéta. dimana anjeun malah teu bisa nempo kodeu tingkat luhur sabenerna, analisis hibrid mutuskeun naha software nu jahat atawa ngan curiga dumasar kana aktivitas runtime na. Sarta sanggeus éta sampel geus dievaluasi.
Dina kasus PowerShell sareng skrip sampel anu sanés (Visual Basic, JavaScript, jsb.), Abdi tiasa ningali kodeu sorangan. Salaku conto, kuring mendakan conto PowerShell ieu:
Anjeun oge bisa ngajalankeun PowerShell dina base64 encoding pikeun nyegah deteksi. Catet pamakean parameter Noninteractive sareng Hidden.
Upami anjeun parantos maca tulisan kuring ngeunaan obfuscation, maka anjeun terang yén pilihan -e netepkeun yén eusina dikodekeun base64. Ku jalan kitu, analisa hibrida ogé ngabantosan ieu ku cara ngodekeun sadayana deui. Upami anjeun hoyong nyobian decoding base64 PowerShell (saterusna disebut PS), anjeun kedah ngajalankeun paréntah ieu:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Lebet ka jero
Kuring decoded Aksara PS urang ngagunakeun métode ieu, handap mangrupa téks program, sanajan rada dirobah ku kuring:
Catet yén naskah dihijikeun ka tanggal 4 Séptémber 2017 sareng ngirimkeun cookies sési.
Kuring nulis ngeunaan gaya serangan ieu di , dimana skrip anu disandi base64 sorangan dimuat leungit malware ti loka sejen, ngagunakeun objek WebClient perpustakaan .Net Framework pikeun ngalakukeun ngangkat beurat.
Naon pikeun éta?
Pikeun parangkat lunak kaamanan nyeken log acara Windows atanapi firewall, encoding base64 nyegah string "WebClient" teu dideteksi ku pola téks polos pikeun ngajagaan tina pamenta wéb sapertos kitu. Sareng kumargi sadaya "jahat" malware teras diunduh sareng dilebetkeun kana PowerShell kami, pendekatan ieu ngamungkinkeun urang pikeun ngahindarkeun deteksi. Atawa rada, éta naon pikir kuring mimitina.
Tétéla yén Windows PowerShell Advanced Logging diaktipkeun (tingali artikel abdi), anjeun bakal tiasa ningali garis anu dimuat dina log acara. Abdi sapertos ) Jigana Microsoft kedah ngaktipkeun tingkat ieu logging sacara standar. Ku alatan éta, kalayan logging ngalegaan diaktipkeun, urang bakal ningali dina log acara Windows a pamundut download réngsé tina Aksara PS nurutkeun conto urang bahas di luhur. Ku alatan éta, asup akal pikeun ngaktipkeunana, naha anjeun satuju?
Hayu urang tambahkeun skenario tambahan
Peretas pinter nyumputkeun serangan PowerShell dina makro Microsoft Office anu ditulis dina Visual Basic sareng basa skrip anu sanés. Gagasan éta korban nampi pesen, contona tina jasa pangiriman, kalayan laporan napel dina format .doc. Anjeun muka dokumén ieu anu ngandung makro, sareng tungtungna ngaluncurkeun PowerShell anu jahat sorangan.
Seringna skrip Visual Basic sorangan kabur supados tiasa ngahindarkeun antipirus sareng panyeken malware anu sanés. Dina sumanget di luhur, kuring mutuskeun kodeu PowerShell di luhur dina JavaScript salaku latihan. Di handap ieu hasil karya kuring:
JavaScript obfuscated nyumputkeun PowerShell kami. Peretas nyata ngalakukeun ieu sakali atanapi dua kali.
Ieu téknik séjén anu kuring ningali ngambang dina wéb: nganggo Wscript.Shell pikeun ngajalankeun PowerShell anu disandi. Ku jalan kitu, JavaScript sorangan pangiriman malware. Loba vérsi Windows geus diwangun-di , nu sorangan bisa ngajalankeun JS.
Dina kasus urang, skrip JS jahat dipasang salaku file sareng ekstensi .doc.js. Windows biasana ngan ukur nunjukkeun sufiks anu munggaran, ku kituna bakal katingali ku korban salaku dokumen Word.
Ikon JS ukur nembongan dina ikon gulung. Henteu anéh yén seueur jalma bakal muka kantétan ieu panginten éta mangrupikeun dokumén Word.
Dina conto kuring, kuring ngarobih PowerShell di luhur pikeun ngaunduh naskah tina halaman wéb kuring. Skrip PS jauh ngan ukur nyitak "Malware Jahat". Sakumaha anjeun tiasa tingali, anjeunna henteu jahat pisan. Tangtu, hacker nyata kabetot dina gaining aksés ka laptop atawa server, sebutkeun, ngaliwatan cangkang paréntah. Dina artikel salajengna, kuring bakal nunjukkeun anjeun kumaha ngalakukeun ieu nganggo PowerShell Empire.
Kuring miharep yén pikeun artikel bubuka kahiji urang teu teuleum teuing deeply kana topik. Ayeuna kuring bakal ngantep anjeun narik napas, sareng waktos salajengna urang bakal ngamimitian ningali conto nyata serangan anu ngagunakeun malware tanpa file tanpa kecap atanapi persiapan anu teu perlu.
sumber: www.habr.com