Ushbu maqola bilan biz tushunib bo'lmaydigan zararli dasturlar haqida bir qator nashrlarni boshlaymiz. Faylsiz xakerlik dasturlari, shuningdek, faylsiz xakerlik dasturlari sifatida ham tanilgan, odatda qimmatli kontentni qidirish va chiqarish uchun buyruqlarni ovozsiz bajarish uchun Windows tizimlarida PowerShell-dan foydalanadi. Zararli fayllarsiz xakerlar faoliyatini aniqlash qiyin ish, chunki... antiviruslar va boshqa ko'plab aniqlash tizimlari imzo tahlili asosida ishlaydi. Ammo yaxshi xabar shundaki, bunday dasturiy ta'minot mavjud. Masalan,
Men yomon xakerlar mavzusini birinchi marta o'rganishni boshlaganimda,
Buyuk va kuchli PowerShell
Men bu fikrlarning ba'zilari haqida avvalroq yozganman
Namunalardan tashqari, saytda siz ushbu dasturlar nima qilishini ko'rishingiz mumkin. Gibrid tahlil zararli dasturlarni o'zining sinov muhitida ishga tushiradi va tizim qo'ng'iroqlarini, ishlaydigan jarayonlarni va tarmoq faoliyatini nazorat qiladi va shubhali matn qatorlarini ajratib oladi. Ikkilik va boshqa bajariladigan fayllar uchun, ya'ni. Haqiqiy yuqori darajadagi kodni ham ko'ra olmaysiz, gibrid tahlil dasturiy ta'minotning zararli yoki shunchaki shubhali ekanligini uning ish vaqtidagi faoliyati asosida hal qiladi. Va bundan keyin namuna allaqachon baholanadi.
PowerShell va boshqa namunaviy skriptlarda (Visual Basic, JavaScript va boshqalar) men kodning o'zini ko'rishga muvaffaq bo'ldim. Masalan, men ushbu PowerShell misoliga duch keldim:
Aniqlanishning oldini olish uchun PowerShell-ni base64 kodlashda ham ishga tushirishingiz mumkin. Interaktiv bo'lmagan va yashirin parametrlardan foydalanishga e'tibor bering.
Agar siz chalkashlik haqidagi xabarlarimni o'qigan bo'lsangiz, bilasizki, -e opsiyasi kontentning base64 kodlanganligini bildiradi. Aytgancha, gibrid tahlil ham hamma narsani dekodlash orqali yordam beradi. Agar siz base64 PowerShell (keyingi o'rinlarda PS deb yuritiladi) kodini dekodlashni o'zingiz sinab ko'rmoqchi bo'lsangiz, ushbu buyruqni bajarishingiz kerak:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Chuqurroq boring
Men ushbu usul yordamida PS skriptimizni dekodladim, quyida dasturning matni biroz o'zgartirilgan bo'lsa ham:
Skript 4-yil 2017-sentabr sanasiga bogβlanganligini va seans kukilarini uzatganini unutmang.
Men ushbu hujum uslubi haqida yozganman
Bu nima uchun?
Windows hodisa jurnallari yoki xavfsizlik devorlarini skanerlash uchun xavfsizlik dasturlari uchun base64 kodlash "WebClient" qatorini bunday veb-so'rovni yuborishdan himoya qilish uchun oddiy matn namunasi bilan aniqlashni oldini oladi. Zararli dasturiy ta'minotning barcha "yomonligi" keyinchalik yuklab olingan va bizning PowerShell-ga o'tganligi sababli, bu yondashuv bizga aniqlanishdan butunlay qochish imkonini beradi. Toβgβrirogβi, avvaliga shunday deb oβyladim.
Ma'lum bo'lishicha, Windows PowerShell Advanced Logging yoqilgan bo'lsa (mening maqolamga qarang) voqealar jurnalida yuklangan qatorni ko'rishingiz mumkin bo'ladi. kabiman
Keling, qo'shimcha stsenariylarni qo'shamiz
Xakerlar PowerShell hujumlarini Visual Basic va boshqa skript tillarida yozilgan Microsoft Office makroslarida mohirlik bilan yashirishadi. G'oya shundan iboratki, jabrlanuvchi xabarni, masalan, yetkazib berish xizmatidan, .doc formatida ilova qilingan hisobot bilan oladi. Siz so'lni o'z ichiga olgan ushbu hujjatni ochasiz va u zararli PowerShell dasturini ishga tushiradi.
Ko'pincha Visual Basic skriptining o'zi antivirus va boshqa zararli dasturlar skanerlaridan bemalol qochishi uchun xiralashgan. Yuqoridagi ruhda men mashq sifatida yuqoridagi PowerShell-ni JavaScript-da kodlashga qaror qildim. Quyida mening ishim natijalari:
Bizning PowerShellimizni yashirgan tushunarsiz JavaScript. Haqiqiy xakerlar buni bir yoki ikki marta qilishadi.
Bu men Internetda suzayotganini ko'rgan yana bir usul: kodlangan PowerShellni ishga tushirish uchun Wscript.Shell dan foydalanish. Aytgancha, JavaScript-ning o'zi
Bizning holatda, zararli JS skripti .doc.js kengaytmali fayl sifatida o'rnatilgan. Windows odatda faqat birinchi qo'shimchani ko'rsatadi, shuning uchun u jabrlanuvchiga Word hujjati sifatida ko'rinadi.
JS belgisi faqat aylantirish belgisida paydo bo'ladi. Ko'pchilik bu ilovani Word hujjati deb o'ylab ochishi ajablanarli emas.
Mening misolimda skriptni veb-saytimdan yuklab olish uchun yuqoridagi PowerShell-ni o'zgartirdim. Masofaviy PS skripti shunchaki "Yovuz zararli dastur" ni chop etadi. Ko'rib turganingizdek, u umuman yomon emas. Albatta, haqiqiy xakerlar noutbuk yoki serverga, aytaylik, buyruq qobig'i orqali kirishdan manfaatdor. Keyingi maqolada men sizga PowerShell Empire yordamida buni qanday qilishni ko'rsataman.
Umid qilamanki, birinchi kirish maqolasi uchun biz mavzuga juda chuqur kirmadik. Endi men sizga bir nafas olishga ruxsat beraman va keyingi safar keraksiz kirish so'zlari yoki tayyorgarliksiz faylsiz zararli dasturlardan foydalangan holda hujumlarning haqiqiy misollarini ko'rib chiqamiz.
Manba: www.habr.com