Med den här artikeln börjar vi en serie publikationer om svårfångade skadliga program. Fillösa hackningsprogram, även kända som fillösa hackningsprogram, använder vanligtvis PowerShell på Windows-system för att tyst köra kommandon för att söka efter och extrahera värdefullt innehåll. Att upptäcka hackeraktivitet utan skadliga filer är en svår uppgift, eftersom... antivirus och många andra detektionssystem fungerar baserat på signaturanalys. Men den goda nyheten är att sådan programvara finns. Till exempel,
När jag först började forska i ämnet dåliga hackare,
Det stora och kraftfulla PowerShell
Jag har skrivit om några av dessa idéer tidigare
Förutom själva proverna kan du på sajten se vad dessa program gör. Hybridanalys kör skadlig programvara i sin egen sandlåda och övervakar systemanrop, pågående processer och nätverksaktivitet och extraherar misstänkta textsträngar. För binärfiler och andra körbara filer, dvs. där du inte ens kan titta på den faktiska högnivåkoden, avgör hybridanalys om programvaran är skadlig eller bara misstänkt baserat på dess körtidsaktivitet. Och efter det är provet redan utvärderat.
När det gäller PowerShell och andra exempelskript (Visual Basic, JavaScript, etc.) kunde jag se själva koden. Till exempel stötte jag på den här PowerShell-instansen:
Du kan också köra PowerShell i base64-kodning för att undvika upptäckt. Notera användningen av icke-interaktiva och dolda parametrar.
Om du har läst mina inlägg om obfuskation, så vet du att alternativet -e anger att innehållet är base64-kodat. Hybridanalys hjälper förresten också till med detta genom att avkoda tillbaka allt. Om du vill prova att avkoda base64 PowerShell (hädanefter kallad PS) själv måste du köra detta kommando:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Gräv djupare
Jag avkodade vårt PS-skript med den här metoden, nedan är texten i programmet, om än något modifierad av mig:
Observera att skriptet var kopplat till datumet 4 september 2017 och överförde sessionscookies.
Jag skrev om denna attackstil i
Vad gör det?
För säkerhetsprogram som skannar Windows händelseloggar eller brandväggar, förhindrar base64-kodning att strängen "WebClient" upptäcks av ett vanlig textmönster för att skydda mot att göra en sådan webbförfrågan. Och eftersom allt "ondska" med skadlig programvara sedan laddas ner och skickas till vår PowerShell, tillåter detta tillvägagångssätt oss att helt undvika upptäckt. Eller rättare sagt, det var vad jag trodde först.
Det visar sig att med Windows PowerShell Advanced Logging aktiverat (se min artikel) kommer du att kunna se den laddade raden i händelseloggen. jag är som
Låt oss lägga till ytterligare scenarier
Hackare gömmer skickligt PowerShell-attacker i Microsoft Office-makron skrivna i Visual Basic och andra skriptspråk. Tanken är att offret får ett meddelande, till exempel från en leveranstjänst, med en bifogad rapport i .doc-format. Du öppnar det här dokumentet som innehåller makrot och det slutar med att det skadliga PowerShell själv startas.
Ofta är själva Visual Basic-skriptet fördunklat så att det fritt undviker antivirus och andra skadlig kod. I andan av ovanstående bestämde jag mig för att koda ovanstående PowerShell i JavaScript som en övning. Nedan är resultatet av mitt arbete:
Obfuskerat JavaScript som döljer vårt PowerShell. Riktiga hackare gör detta en eller två gånger.
Det här är en annan teknik som jag har sett flyta runt på webben: att använda Wscript.Shell för att köra kodad PowerShell. Förresten, JavaScript i sig är det
I vårt fall är det skadliga JS-skriptet inbäddat som en fil med filtillägget .doc.js. Windows visar vanligtvis bara det första suffixet, så det visas för offret som ett Word-dokument.
JS-ikonen visas endast i rullningsikonen. Det är inte förvånande att många människor öppnar den här bilagan och tror att det är ett Word-dokument.
I mitt exempel modifierade jag PowerShell ovan för att ladda ner skriptet från min webbplats. Det fjärranslutna PS-skriptet skriver bara ut "Evil Malware". Som du kan se är han inte alls ond. Naturligtvis är riktiga hackare intresserade av att få tillgång till en bärbar dator eller server, till exempel genom ett kommandoskal. I nästa artikel kommer jag att visa dig hur du gör detta med PowerShell Empire.
Jag hoppas att vi inte fördjupade oss i ämnet för den första inledande artikeln. Nu låter jag dig ta ett andetag, och nästa gång börjar vi titta på verkliga exempel på attacker med fillös skadlig programvara utan onödiga inledande ord eller förberedelser.
Källa: will.com