Kwa makala hii tunaanza mfululizo wa machapisho kuhusu programu hasidi isiyoweza kufikiwa. Programu za udukuzi bila faili, pia hujulikana kama programu za udukuzi bila faili, kwa kawaida hutumia PowerShell kwenye mifumo ya Windows ili kutekeleza amri kimyakimya kutafuta na kutoa maudhui muhimu. Kugundua shughuli ya hacker bila faili hasidi ni kazi ngumu, kwa sababu... antivirus na mifumo mingine mingi ya kugundua hufanya kazi kulingana na uchanganuzi wa saini. Lakini habari njema ni kwamba programu kama hizo zipo. Kwa mfano,
Nilipoanza kutafiti mada ya wadukuzi mbaya,
PowerShell Kubwa na Nguvu
Nimeandika juu ya baadhi ya mawazo haya hapo awali
Mbali na sampuli wenyewe, kwenye tovuti unaweza kuona nini programu hizi hufanya. Uchanganuzi wa mseto huendesha programu hasidi katika kisanduku chake cha mchanga na hufuatilia simu za mfumo, kuendesha michakato na shughuli za mtandao, na kutoa kamba za maandishi zinazotiliwa shaka. Kwa binaries na faili zingine zinazoweza kutekelezwa, i.e. ambapo huwezi hata kuangalia msimbo halisi wa kiwango cha juu, uchanganuzi mseto huamua ikiwa programu ni hasidi au inatiliwa shaka kulingana na shughuli zake za wakati wa utekelezaji. Na baada ya hapo sampuli tayari imetathminiwa.
Kwa upande wa PowerShell na maandishi mengine ya sampuli (Visual Basic, JavaScript, nk), niliweza kuona nambari yenyewe. Kwa mfano, nilipata mfano huu wa PowerShell:
Unaweza pia kuendesha PowerShell katika usimbaji wa base64 ili kuzuia kugunduliwa. Kumbuka matumizi ya vigezo visivyoingiliana na vilivyofichwa.
Ikiwa umesoma machapisho yangu juu ya obfuscation, basi unajua kuwa -e chaguo inabainisha kuwa maudhui ni base64 encoded. Kwa njia, uchambuzi wa mseto pia husaidia na hii kwa kuweka kila kitu nyuma. Ikiwa unataka kujaribu kusimbua base64 PowerShell (hapa inajulikana kama PS) mwenyewe, unahitaji kutekeleza amri hii:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Nenda ndani zaidi
Niliamua maandishi yetu ya PS kwa kutumia njia hii, hapa chini ni maandishi ya programu, ingawa yalibadilishwa kidogo na mimi:
Kumbuka kuwa hati iliambatanishwa na tarehe 4 Septemba, 2017 na kusambaza vidakuzi vya kipindi.
Niliandika juu ya mtindo huu wa kushambulia
Je! Hii ni nini?
Kwa programu ya usalama kuchanganua kumbukumbu za matukio ya Windows au ngome, usimbaji wa base64 huzuia mfuatano wa "WebClient" kutambuliwa na mchoro wa maandishi wazi ili kulinda dhidi ya kutuma ombi kama hilo la wavuti. Na kwa kuwa "uovu" wote wa programu hasidi hupakuliwa na kupitishwa kwenye PowerShell yetu, njia hii huturuhusu kukwepa kabisa kutambuliwa. Au tuseme, ndivyo nilivyofikiria mwanzoni.
Inabadilika kuwa kwa Uwekaji Magogo wa Windows PowerShell Advanced umewezeshwa (tazama nakala yangu), utaweza kuona mstari uliopakiwa kwenye logi ya tukio. Mimi ni kama
Hebu tuongeze matukio ya ziada
Wadukuzi huficha kwa werevu mashambulizi ya PowerShell katika makro ya Microsoft Office yaliyoandikwa kwa Visual Basic na lugha nyinginezo za uandishi. Wazo ni kwamba mwathirika anapokea ujumbe, kwa mfano kutoka kwa huduma ya uwasilishaji, na ripoti iliyoambatishwa katika umbizo la .doc. Unafungua hati hii ambayo ina jumla, na inaishia kuzindua PowerShell yenyewe hasidi.
Mara nyingi hati ya Visual Basic yenyewe imefichwa ili iepuke kwa uhuru antivirus na vichanganuzi vingine vya programu hasidi. Kwa roho ya hapo juu, niliamua kuweka PowerShell hapo juu kwenye JavaScript kama zoezi. Yafuatayo ni matokeo ya kazi yangu:
JavaScript iliyofichwa inayoficha PowerShell yetu. Hackare halisi hufanya hivyo mara moja au mbili.
Hii ni mbinu nyingine ambayo nimeona ikielea kwenye wavuti: kwa kutumia Wscript.Shell kuendesha PowerShell iliyosimbwa. Kwa njia, JavaScript yenyewe ni
Kwa upande wetu, hati hasidi ya JS imepachikwa kama faili yenye kiendelezi cha .doc.js. Windows kwa kawaida itaonyesha kiambishi tamati cha kwanza tu, kwa hivyo kitaonekana kwa mwathiriwa kama hati ya Neno.
Ikoni ya JS inaonekana tu kwenye ikoni ya kusogeza. Haishangazi kwamba watu wengi watafungua kiambatisho hiki wakidhani ni hati ya Neno.
Katika mfano wangu, nilirekebisha PowerShell hapo juu ili kupakua hati kutoka kwa wavuti yangu. Hati ya mbali ya PS huchapisha tu "Malware Mabaya". Kama unavyoona, yeye sio mbaya hata kidogo. Kwa kweli, watapeli wa kweli wana nia ya kupata ufikiaji wa kompyuta ndogo au seva, sema, kupitia ganda la amri. Katika makala inayofuata, nitakuonyesha jinsi ya kufanya hivyo kwa kutumia Dola ya PowerShell.
Natumaini kwamba kwa makala ya kwanza ya utangulizi hatukuzama sana kwenye mada. Sasa nitakuwezesha kupumua, na wakati ujao tutaanza kuangalia mifano halisi ya mashambulizi kwa kutumia programu hasidi isiyo na faili bila maneno yoyote ya utangulizi au maandalizi yasiyo ya lazima.
Chanzo: mapenzi.com