Ushbu maqola bilan biz tushunib bo'lmaydigan zararli dasturlar haqida bir qator nashrlarni boshlaymiz. Faylsiz xakerlik dasturlari, shuningdek, faylsiz xakerlik dasturlari sifatida ham tanilgan, odatda qimmatli kontentni qidirish va chiqarish uchun buyruqlarni ovozsiz bajarish uchun Windows tizimlarida PowerShell-dan foydalanadi. Zararli fayllarsiz xakerlar faoliyatini aniqlash qiyin ish, chunki... antiviruslar va boshqa ko'plab aniqlash tizimlari imzo tahlili asosida ishlaydi. Ammo yaxshi xabar shundaki, bunday dasturiy ta'minot mavjud. Masalan, , fayl tizimlarida zararli faoliyatni aniqlashga qodir.
Men yomon xakerlar mavzusini birinchi marta o'rganishni boshlaganimda, , lekin faqat jabrlanuvchining kompyuterida mavjud bo'lgan asboblar va dasturiy ta'minot, men bu tez orada mashhur hujum usuliga aylanishini bilmasdim. Xavfsizlik bo'yicha mutaxassislar bu tendentsiyaga aylanib borayotgani va - buni tasdiqlash. Shuning uchun men ushbu mavzu bo'yicha bir qator nashrlar yaratishga qaror qildim.
Buyuk va kuchli PowerShell
Men bu fikrlarning ba'zilari haqida avvalroq yozganman , lekin ko'proq nazariy kontseptsiyaga asoslangan. Keyinroq duch keldim , bu erda siz yovvoyi tabiatda "ushlangan" zararli dasturlarning namunalarini topishingiz mumkin. Faylsiz zararli dasturlarning namunalarini topish uchun ushbu saytdan foydalanishga qaror qildim. Va men muvaffaqiyatga erishdim. Aytgancha, agar siz o'zingizning zararli dasturlarni ovlash ekspeditsiyasiga bormoqchi bo'lsangiz, siz ushbu sayt tomonidan tasdiqlangan bo'lishingiz kerak, shunda ular sizni oq qalpoq mutaxassisi sifatida ishlayotganingizni bilishadi. Xavfsizlik bloggeri sifatida men uni shubhasiz o'tkazdim. Ishonchim komilki, siz ham qila olasiz.
Namunalardan tashqari, saytda siz ushbu dasturlar nima qilishini ko'rishingiz mumkin. Gibrid tahlil zararli dasturlarni o'zining sinov muhitida ishga tushiradi va tizim qo'ng'iroqlarini, ishlaydigan jarayonlarni va tarmoq faoliyatini nazorat qiladi va shubhali matn qatorlarini ajratib oladi. Ikkilik va boshqa bajariladigan fayllar uchun, ya'ni. Haqiqiy yuqori darajadagi kodni ham ko'ra olmaysiz, gibrid tahlil dasturiy ta'minotning zararli yoki shunchaki shubhali ekanligini uning ish vaqtidagi faoliyati asosida hal qiladi. Va bundan keyin namuna allaqachon baholanadi.
PowerShell va boshqa namunaviy skriptlarda (Visual Basic, JavaScript va boshqalar) men kodning o'zini ko'rishga muvaffaq bo'ldim. Masalan, men ushbu PowerShell misoliga duch keldim:
Aniqlanishning oldini olish uchun PowerShell-ni base64 kodlashda ham ishga tushirishingiz mumkin. Interaktiv bo'lmagan va yashirin parametrlardan foydalanishga e'tibor bering.
Agar siz chalkashlik haqidagi xabarlarimni o'qigan bo'lsangiz, bilasizki, -e opsiyasi kontentning base64 kodlanganligini bildiradi. Aytgancha, gibrid tahlil ham hamma narsani dekodlash orqali yordam beradi. Agar siz base64 PowerShell (keyingi o'rinlarda PS deb yuritiladi) kodini dekodlashni o'zingiz sinab ko'rmoqchi bo'lsangiz, ushbu buyruqni bajarishingiz kerak:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Chuqurroq boring
Men ushbu usul yordamida PS skriptimizni dekodladim, quyida dasturning matni biroz o'zgartirilgan bo'lsa ham:
Skript 4-yil 2017-sentabr sanasiga bogβlanganligini va seans kukilarini uzatganini unutmang.
Men ushbu hujum uslubi haqida yozganman , unda base64 kodlangan skriptning o'zi yuklanadi yo'qolgan .Net Framework kutubxonasining WebClient ob'ektidan foydalanib, og'ir yuklarni ko'tarish uchun boshqa saytdan zararli dastur.
Bu nima uchun?
Windows hodisa jurnallari yoki xavfsizlik devorlarini skanerlash uchun xavfsizlik dasturlari uchun base64 kodlash "WebClient" qatorini bunday veb-so'rovni yuborishdan himoya qilish uchun oddiy matn namunasi bilan aniqlashni oldini oladi. Zararli dasturiy ta'minotning barcha "yomonligi" keyinchalik yuklab olingan va bizning PowerShell-ga o'tganligi sababli, bu yondashuv bizga aniqlanishdan butunlay qochish imkonini beradi. Toβgβrirogβi, avvaliga shunday deb oβyladim.
Ma'lum bo'lishicha, Windows PowerShell Advanced Logging yoqilgan bo'lsa (mening maqolamga qarang) voqealar jurnalida yuklangan qatorni ko'rishingiz mumkin bo'ladi. kabiman ) Menimcha, Microsoft sukut bo'yicha ushbu jurnalni yozish darajasini yoqishi kerak. Shuning uchun, kengaytirilgan ro'yxatga olish yoqilgan bo'lsa, biz Windows voqealar jurnalida yuqorida muhokama qilingan misolga muvofiq PS skriptidan to'ldirilgan yuklab olish so'rovini ko'ramiz. Shuning uchun, uni faollashtirish mantiqan, rozi emasmisiz?
Keling, qo'shimcha stsenariylarni qo'shamiz
Xakerlar PowerShell hujumlarini Visual Basic va boshqa skript tillarida yozilgan Microsoft Office makroslarida mohirlik bilan yashirishadi. G'oya shundan iboratki, jabrlanuvchi xabarni, masalan, yetkazib berish xizmatidan, .doc formatida ilova qilingan hisobot bilan oladi. Siz so'lni o'z ichiga olgan ushbu hujjatni ochasiz va u zararli PowerShell dasturini ishga tushiradi.
Ko'pincha Visual Basic skriptining o'zi antivirus va boshqa zararli dasturlar skanerlaridan bemalol qochishi uchun xiralashgan. Yuqoridagi ruhda men mashq sifatida yuqoridagi PowerShell-ni JavaScript-da kodlashga qaror qildim. Quyida mening ishim natijalari:
Bizning PowerShellimizni yashirgan tushunarsiz JavaScript. Haqiqiy xakerlar buni bir yoki ikki marta qilishadi.
Bu men Internetda suzayotganini ko'rgan yana bir usul: kodlangan PowerShellni ishga tushirish uchun Wscript.Shell dan foydalanish. Aytgancha, JavaScript-ning o'zi zararli dasturlarni yetkazib berish. Ko'pgina Windows versiyalarida o'rnatilgan , uning o'zi JSni ishga tushirishi mumkin.
Bizning holatda, zararli JS skripti .doc.js kengaytmali fayl sifatida o'rnatilgan. Windows odatda faqat birinchi qo'shimchani ko'rsatadi, shuning uchun u jabrlanuvchiga Word hujjati sifatida ko'rinadi.
JS belgisi faqat aylantirish belgisida paydo bo'ladi. Ko'pchilik bu ilovani Word hujjati deb o'ylab ochishi ajablanarli emas.
Mening misolimda skriptni veb-saytimdan yuklab olish uchun yuqoridagi PowerShell-ni o'zgartirdim. Masofaviy PS skripti shunchaki "Yovuz zararli dastur" ni chop etadi. Ko'rib turganingizdek, u umuman yomon emas. Albatta, haqiqiy xakerlar noutbuk yoki serverga, aytaylik, buyruq qobig'i orqali kirishdan manfaatdor. Keyingi maqolada men sizga PowerShell Empire yordamida buni qanday qilishni ko'rsataman.
Umid qilamanki, birinchi kirish maqolasi uchun biz mavzuga juda chuqur kirmadik. Endi men sizga bir nafas olishga ruxsat beraman va keyingi safar keraksiz kirish so'zlari yoki tayyorgarliksiz faylsiz zararli dasturlardan foydalangan holda hujumlarning haqiqiy misollarini ko'rib chiqamiz.
Manba: www.habr.com