Kwa makala hii tunaanza mfululizo wa machapisho kuhusu programu hasidi isiyoweza kufikiwa. Programu za udukuzi bila faili, pia hujulikana kama programu za udukuzi bila faili, kwa kawaida hutumia PowerShell kwenye mifumo ya Windows ili kutekeleza amri kimyakimya kutafuta na kutoa maudhui muhimu. Kugundua shughuli ya hacker bila faili hasidi ni kazi ngumu, kwa sababu... antivirus na mifumo mingine mingi ya kugundua hufanya kazi kulingana na uchanganuzi wa saini. Lakini habari njema ni kwamba programu kama hizo zipo. Kwa mfano, , yenye uwezo wa kugundua shughuli mbaya katika mifumo ya faili.
Nilipoanza kutafiti mada ya wadukuzi mbaya, , lakini tu zana na programu zinazopatikana kwenye kompyuta ya mwathirika, sikujua kwamba hivi karibuni hii itakuwa njia maarufu ya mashambulizi. Wataalamu wa Usalama kwamba hii inakuwa mtindo, na - uthibitisho wa hii. Kwa hiyo, niliamua kufanya mfululizo wa machapisho juu ya mada hii.
PowerShell Kubwa na Nguvu
Nimeandika juu ya baadhi ya mawazo haya hapo awali , lakini zaidi kulingana na dhana ya kinadharia. Baadaye nilikuja , ambapo unaweza kupata sampuli za programu hasidi "zilizokamatwa" porini. Niliamua kujaribu kutumia tovuti hii kupata sampuli za programu hasidi isiyo na faili. Na nilifanikiwa. Lakini, ikiwa ungependa kwenda kwenye msafara wako binafsi wa kuwinda programu hasidi, itabidi uthibitishwe na tovuti hii ili wajue kuwa unafanya kazi hiyo kama mtaalamu wa kofia nyeupe. Kama mwanablogu wa usalama, niliipitisha bila swali. Nina hakika unaweza pia.
Mbali na sampuli wenyewe, kwenye tovuti unaweza kuona nini programu hizi hufanya. Uchanganuzi wa mseto huendesha programu hasidi katika kisanduku chake cha mchanga na hufuatilia simu za mfumo, kuendesha michakato na shughuli za mtandao, na kutoa kamba za maandishi zinazotiliwa shaka. Kwa binaries na faili zingine zinazoweza kutekelezwa, i.e. ambapo huwezi hata kuangalia msimbo halisi wa kiwango cha juu, uchanganuzi mseto huamua ikiwa programu ni hasidi au inatiliwa shaka kulingana na shughuli zake za wakati wa utekelezaji. Na baada ya hapo sampuli tayari imetathminiwa.
Kwa upande wa PowerShell na maandishi mengine ya sampuli (Visual Basic, JavaScript, nk), niliweza kuona nambari yenyewe. Kwa mfano, nilipata mfano huu wa PowerShell:
Unaweza pia kuendesha PowerShell katika usimbaji wa base64 ili kuzuia kugunduliwa. Kumbuka matumizi ya vigezo visivyoingiliana na vilivyofichwa.
Ikiwa umesoma machapisho yangu juu ya obfuscation, basi unajua kuwa -e chaguo inabainisha kuwa maudhui ni base64 encoded. Kwa njia, uchambuzi wa mseto pia husaidia na hii kwa kuweka kila kitu nyuma. Ikiwa unataka kujaribu kusimbua base64 PowerShell (hapa inajulikana kama PS) mwenyewe, unahitaji kutekeleza amri hii:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Nenda ndani zaidi
Niliamua maandishi yetu ya PS kwa kutumia njia hii, hapa chini ni maandishi ya programu, ingawa yalibadilishwa kidogo na mimi:
Kumbuka kuwa hati iliambatanishwa na tarehe 4 Septemba, 2017 na kusambaza vidakuzi vya kipindi.
Niliandika juu ya mtindo huu wa kushambulia , ambayo maandishi ya msingi64 yaliyosimbwa yenyewe hupakia kukosa programu hasidi kutoka kwa tovuti nyingine, kwa kutumia kipengee cha WebClient cha maktaba ya .Net Framework kunyanyua vitu vizito.
Je! Hii ni nini?
Kwa programu ya usalama kuchanganua kumbukumbu za matukio ya Windows au ngome, usimbaji wa base64 huzuia mfuatano wa "WebClient" kutambuliwa na mchoro wa maandishi wazi ili kulinda dhidi ya kutuma ombi kama hilo la wavuti. Na kwa kuwa "uovu" wote wa programu hasidi hupakuliwa na kupitishwa kwenye PowerShell yetu, njia hii huturuhusu kukwepa kabisa kutambuliwa. Au tuseme, ndivyo nilivyofikiria mwanzoni.
Inabadilika kuwa kwa Uwekaji Magogo wa Windows PowerShell Advanced umewezeshwa (tazama nakala yangu), utaweza kuona mstari uliopakiwa kwenye logi ya tukio. Mimi ni kama ) Nadhani Microsoft inapaswa kuwezesha kiwango hiki cha ukataji miti kwa chaguo-msingi. Kwa hivyo, kwa ukataji miti uliopanuliwa kuwezeshwa, tutaona kwenye logi ya tukio la Windows ombi lililokamilishwa la upakuaji kutoka kwa hati ya PS kulingana na mfano tuliojadili hapo juu. Kwa hiyo, ni jambo la maana kuiwasha, hukubaliani?
Hebu tuongeze matukio ya ziada
Wadukuzi huficha kwa werevu mashambulizi ya PowerShell katika makro ya Microsoft Office yaliyoandikwa kwa Visual Basic na lugha nyinginezo za uandishi. Wazo ni kwamba mwathirika anapokea ujumbe, kwa mfano kutoka kwa huduma ya uwasilishaji, na ripoti iliyoambatishwa katika umbizo la .doc. Unafungua hati hii ambayo ina jumla, na inaishia kuzindua PowerShell yenyewe hasidi.
Mara nyingi hati ya Visual Basic yenyewe imefichwa ili iepuke kwa uhuru antivirus na vichanganuzi vingine vya programu hasidi. Kwa roho ya hapo juu, niliamua kuweka PowerShell hapo juu kwenye JavaScript kama zoezi. Yafuatayo ni matokeo ya kazi yangu:
JavaScript iliyofichwa inayoficha PowerShell yetu. Hackare halisi hufanya hivyo mara moja au mbili.
Hii ni mbinu nyingine ambayo nimeona ikielea kwenye wavuti: kwa kutumia Wscript.Shell kuendesha PowerShell iliyosimbwa. Kwa njia, JavaScript yenyewe ni utoaji wa programu hasidi. Matoleo mengi ya Windows yamejengwa ndani , ambayo yenyewe inaweza kuendesha JS.
Kwa upande wetu, hati hasidi ya JS imepachikwa kama faili yenye kiendelezi cha .doc.js. Windows kwa kawaida itaonyesha kiambishi tamati cha kwanza tu, kwa hivyo kitaonekana kwa mwathiriwa kama hati ya Neno.
Ikoni ya JS inaonekana tu kwenye ikoni ya kusogeza. Haishangazi kwamba watu wengi watafungua kiambatisho hiki wakidhani ni hati ya Neno.
Katika mfano wangu, nilirekebisha PowerShell hapo juu ili kupakua hati kutoka kwa wavuti yangu. Hati ya mbali ya PS huchapisha tu "Malware Mabaya". Kama unavyoona, yeye sio mbaya hata kidogo. Kwa kweli, watapeli wa kweli wana nia ya kupata ufikiaji wa kompyuta ndogo au seva, sema, kupitia ganda la amri. Katika makala inayofuata, nitakuonyesha jinsi ya kufanya hivyo kwa kutumia Dola ya PowerShell.
Natumaini kwamba kwa makala ya kwanza ya utangulizi hatukuzama sana kwenye mada. Sasa nitakuwezesha kupumua, na wakati ujao tutaanza kuangalia mifano halisi ya mashambulizi kwa kutumia programu hasidi isiyo na faili bila maneno yoyote ya utangulizi au maandalizi yasiyo ya lazima.
Chanzo: mapenzi.com