Kalayan tulisan ieu kami ngamimitian séri publikasi ngeunaan malware anu hese dihartikeun. Program hacking tanpa file, ogé katelah program hacking tanpa file, biasana nganggo PowerShell dina sistem Windows pikeun cicingeun ngajalankeun paréntah pikeun milarian sareng nimba eusi anu berharga. Ngadeteksi kagiatan hacker tanpa file jahat mangrupikeun tugas anu sesah, sabab ... antipirus sareng seueur sistem deteksi anu sanés dianggo dumasar kana analisa tandatangan. Tapi warta anu saé nyaéta yén parangkat lunak sapertos kitu aya. Salaku conto,
Nalika kuring mimiti nalungtik topik hacker badass,
The Great jeung PowerShell PowerShell
Kuring geus ditulis ngeunaan sababaraha gagasan ieu sateuacan di
Salian conto sorangan, dina situs anjeun tiasa ningali naon anu dilakukeun ku program ieu. Analisis hibrid ngajalankeun malware dina kotak pasir sorangan sareng ngawaskeun telepon sistem, prosés sareng kagiatan jaringan, sareng ékstrak senar téks anu curiga. Pikeun binari sareng file anu tiasa dieksekusi, nyaéta. dimana anjeun malah teu bisa nempo kodeu tingkat luhur sabenerna, analisis hibrid mutuskeun naha software nu jahat atawa ngan curiga dumasar kana aktivitas runtime na. Sarta sanggeus éta sampel geus dievaluasi.
Dina kasus PowerShell sareng skrip sampel anu sanés (Visual Basic, JavaScript, jsb.), Abdi tiasa ningali kodeu sorangan. Salaku conto, kuring mendakan conto PowerShell ieu:
Anjeun oge bisa ngajalankeun PowerShell dina base64 encoding pikeun nyegah deteksi. Catet pamakean parameter Noninteractive sareng Hidden.
Upami anjeun parantos maca tulisan kuring ngeunaan obfuscation, maka anjeun terang yén pilihan -e netepkeun yén eusina dikodekeun base64. Ku jalan kitu, analisa hibrida ogé ngabantosan ieu ku cara ngodekeun sadayana deui. Upami anjeun hoyong nyobian decoding base64 PowerShell (saterusna disebut PS), anjeun kedah ngajalankeun paréntah ieu:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Lebet ka jero
Kuring decoded Aksara PS urang ngagunakeun métode ieu, handap mangrupa téks program, sanajan rada dirobah ku kuring:
Catet yén naskah dihijikeun ka tanggal 4 Séptémber 2017 sareng ngirimkeun cookies sési.
Kuring nulis ngeunaan gaya serangan ieu di
Naon pikeun éta?
Pikeun parangkat lunak kaamanan nyeken log acara Windows atanapi firewall, encoding base64 nyegah string "WebClient" teu dideteksi ku pola téks polos pikeun ngajagaan tina pamenta wéb sapertos kitu. Sareng kumargi sadaya "jahat" malware teras diunduh sareng dilebetkeun kana PowerShell kami, pendekatan ieu ngamungkinkeun urang pikeun ngahindarkeun deteksi. Atawa rada, éta naon pikir kuring mimitina.
Tétéla yén Windows PowerShell Advanced Logging diaktipkeun (tingali artikel abdi), anjeun bakal tiasa ningali garis anu dimuat dina log acara. Abdi sapertos
Hayu urang tambahkeun skenario tambahan
Peretas pinter nyumputkeun serangan PowerShell dina makro Microsoft Office anu ditulis dina Visual Basic sareng basa skrip anu sanés. Gagasan éta korban nampi pesen, contona tina jasa pangiriman, kalayan laporan napel dina format .doc. Anjeun muka dokumén ieu anu ngandung makro, sareng tungtungna ngaluncurkeun PowerShell anu jahat sorangan.
Seringna skrip Visual Basic sorangan kabur supados tiasa ngahindarkeun antipirus sareng panyeken malware anu sanés. Dina sumanget di luhur, kuring mutuskeun kodeu PowerShell di luhur dina JavaScript salaku latihan. Di handap ieu hasil karya kuring:
JavaScript obfuscated nyumputkeun PowerShell kami. Peretas nyata ngalakukeun ieu sakali atanapi dua kali.
Ieu téknik séjén anu kuring ningali ngambang dina wéb: nganggo Wscript.Shell pikeun ngajalankeun PowerShell anu disandi. Ku jalan kitu, JavaScript sorangan
Dina kasus urang, skrip JS jahat dipasang salaku file sareng ekstensi .doc.js. Windows biasana ngan ukur nunjukkeun sufiks anu munggaran, ku kituna bakal katingali ku korban salaku dokumen Word.
Ikon JS ukur nembongan dina ikon gulung. Henteu anéh yén seueur jalma bakal muka kantétan ieu panginten éta mangrupikeun dokumén Word.
Dina conto kuring, kuring ngarobih PowerShell di luhur pikeun ngaunduh naskah tina halaman wéb kuring. Skrip PS jauh ngan ukur nyitak "Malware Jahat". Sakumaha anjeun tiasa tingali, anjeunna henteu jahat pisan. Tangtu, hacker nyata kabetot dina gaining aksés ka laptop atawa server, sebutkeun, ngaliwatan cangkang paréntah. Dina artikel salajengna, kuring bakal nunjukkeun anjeun kumaha ngalakukeun ieu nganggo PowerShell Empire.
Kuring miharep yén pikeun artikel bubuka kahiji urang teu teuleum teuing deeply kana topik. Ayeuna kuring bakal ngantep anjeun narik napas, sareng waktos salajengna urang bakal ngamimitian ningali conto nyata serangan anu ngagunakeun malware tanpa file tanpa kecap atanapi persiapan anu teu perlu.
sumber: www.habr.com