Pẹlu nkan yii a bẹrẹ lẹsẹsẹ awọn atẹjade nipa malware ti ko lewu. Awọn eto sakasaka aisi faili, ti a tun mọ si awọn eto sakasaka ti ko ni faili, ni igbagbogbo lo PowerShell lori awọn eto Windows lati fi ipalọlọ ṣiṣẹ awọn aṣẹ lati wa ati jade akoonu to niyelori. Ṣiṣawari iṣẹ agbonaeburuwole laisi awọn faili irira jẹ iṣẹ ti o nira, nitori… awọn antiviruses ati ọpọlọpọ awọn ọna ṣiṣe wiwa miiran ṣiṣẹ da lori itupalẹ ibuwọlu. Ṣugbọn iroyin ti o dara ni pe iru sọfitiwia naa wa. Fun apere, , ti o lagbara lati ṣawari iṣẹ-ṣiṣe irira ni awọn eto faili.
Nigbati mo kọkọ bẹrẹ iwadii koko-ọrọ ti awọn olosa buburu, , ṣugbọn awọn irinṣẹ ati sọfitiwia nikan ti o wa lori kọnputa olufaragba, Emi ko ni imọran pe eyi yoo di ọna olokiki ti ikọlu laipẹ. Aabo akosemose wipe yi ti wa ni di a aṣa, ati - ìmúdájú ti yi. Nitorinaa, Mo pinnu lati ṣe awọn atẹjade lẹsẹsẹ lori koko yii.
Agbara nla ati Alagbara
Mo ti kọ nipa diẹ ninu awọn imọran wọnyi ṣaaju ninu , ṣugbọn diẹ da lori a tumq si Erongba. Lẹ́yìn náà ni mo bá pàdé , nibi ti o ti le wa awọn ayẹwo ti malware "mu" ninu egan. Mo pinnu lati gbiyanju lilo aaye yii lati wa awọn apẹẹrẹ ti malware ti ko ni faili. Ati pe Mo ṣaṣeyọri. Nipa ọna, ti o ba fẹ lọ si irin-ajo ọdẹ malware tirẹ, iwọ yoo ni lati rii daju nipasẹ aaye yii ki wọn mọ pe o n ṣe iṣẹ naa bi alamọja ijanilaya funfun. Gẹgẹbi Blogger aabo, Mo kọja laisi ibeere. Mo da mi loju pe o tun le.
Ni afikun si awọn ayẹwo funrararẹ, lori aaye naa o le rii kini awọn eto wọnyi ṣe. Itupalẹ arabara nṣiṣẹ malware ninu apoti iyanrin tirẹ ati ṣe abojuto awọn ipe eto, awọn ilana ṣiṣe ati iṣẹ nẹtiwọọki, ati yọkuro awọn gbolohun ọrọ ifura. Fun awọn alakomeji ati awọn faili ipaniyan miiran, i.e. Nibiti o ko le paapaa wo koodu ipele-giga gangan, itupalẹ arabara pinnu boya sọfitiwia jẹ irira tabi o kan ifura da lori iṣẹ ṣiṣe asiko rẹ. Ati lẹhin naa a ti ṣe ayẹwo ayẹwo tẹlẹ.
Ninu ọran ti PowerShell ati awọn iwe afọwọkọ apẹẹrẹ miiran (Visual Basic, JavaScript, ati bẹbẹ lọ), Mo ni anfani lati wo koodu funrararẹ. Fun apẹẹrẹ, Mo pade apẹẹrẹ PowerShell yii:
O tun le ṣiṣẹ PowerShell ni ipilẹ koodu base64 lati yago fun wiwa. Ṣe akiyesi lilo awọn paramita ti kii ṣe ibaraẹnisọrọ ati ti o farapamọ.
Ti o ba ti ka awọn ifiweranṣẹ mi lori obfuscation, lẹhinna o mọ pe aṣayan -e pato pe akoonu jẹ koodu base64. Nipa ọna, itupalẹ arabara tun ṣe iranlọwọ pẹlu eyi nipa yiyan ohun gbogbo pada. Ti o ba fẹ gbiyanju yiyipada base64 PowerShell (lẹhinna tọka si PS) funrararẹ, o nilo lati ṣiṣẹ aṣẹ yii:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))Lọ jinle
Mo ṣe iyipada iwe afọwọkọ PS wa ni lilo ọna yii, ni isalẹ ni ọrọ ti eto naa, botilẹjẹpe MO ṣe atunṣe diẹ:
Ṣe akiyesi pe iwe afọwọkọ naa ti so si ọjọ Oṣu Kẹsan 4, 2017 ati awọn kuki igba ti o tan kaakiri.
Mo ti kowe nipa yi ara ti kolu ni , ninu eyiti base64 ti koodu koodu ara rẹ fifuye sonu malware lati aaye miiran, ni lilo ohun elo WebClient ti ile-ikawe .Net Framework lati ṣe igbega ti o wuwo naa.
Kini o jẹ fun?
Fun sọfitiwia aabo sọfitiwia ṣiṣe ayẹwo awọn akọọlẹ iṣẹlẹ Windows tabi awọn ogiriina, fifi koodu base64 ṣe idiwọ okun “WebClient” lati rii nipasẹ apẹrẹ ọrọ itele lati daabobo lodi si ṣiṣe iru ibeere wẹẹbu kan. Ati pe niwọn igba ti gbogbo “buburu” ti malware jẹ igbasilẹ lẹhinna ti o kọja sinu PowerShell wa, ọna yii nitorinaa gba wa laaye lati yago fun wiwa patapata. Tabi dipo, iyẹn ni ohun ti Mo ro ni akọkọ.
O wa ni pe pẹlu Windows PowerShell Advanced Logging ṣiṣẹ (wo nkan mi), iwọ yoo ni anfani lati wo laini ti kojọpọ ninu akọọlẹ iṣẹlẹ naa. Mo dabi ) Mo ro pe Microsoft yẹ ki o jẹ ki ipele ti gedu yii ṣiṣẹ nipasẹ aiyipada. Nitorinaa, pẹlu ṣiṣiṣẹ gedu ti o gbooro sii, a yoo rii ninu iforukọsilẹ iṣẹlẹ iṣẹlẹ Windows ibeere igbasilẹ ti o pari lati iwe afọwọkọ PS ni ibamu si apẹẹrẹ ti a jiroro loke. Nitorinaa, o jẹ oye lati muu ṣiṣẹ, ṣe o ko gba?
Jẹ ki a ṣafikun awọn oju iṣẹlẹ afikun
Awọn olosa pẹlu ọgbọn tọju awọn ikọlu PowerShell ni awọn macros Microsoft Office ti a kọ sinu Ipilẹ wiwo ati awọn ede kikọ miiran. Ero naa ni pe olufaragba gba ifiranṣẹ kan, fun apẹẹrẹ lati iṣẹ ifijiṣẹ, pẹlu ijabọ ti a so ni ọna kika .doc. O ṣii iwe yii ti o ni Makiro ninu, o si pari ṣiṣe ifilọlẹ PowerShell irira funrararẹ.
Nigbagbogbo iwe afọwọkọ Ipilẹ Visual funrarẹ jẹ aibikita ki o yago fun ọlọjẹ larọwọto ati awọn ọlọjẹ malware miiran. Ninu ẹmi ti o wa loke, Mo pinnu lati koodu PowerShell loke ni JavaScript gẹgẹbi adaṣe. Ni isalẹ ni awọn abajade iṣẹ mi:
Obfuscated JavaScript fifipamo PowerShell wa. Awọn olosa gidi ṣe eyi lẹẹkan tabi lẹmeji.
Eyi jẹ ilana miiran ti Mo ti rii lilefoofo ni ayika wẹẹbu: lilo Wscript.Shell lati ṣiṣẹ koodu PowerShell. Nipa ọna, JavaScript funrararẹ jẹ ifijiṣẹ malware. Ọpọlọpọ awọn ẹya ti Windows ti ṣe sinu , eyi ti ara le ṣiṣe JS.
Ninu ọran wa, iwe afọwọkọ JS irira ti wa ni ifibọ bi faili pẹlu itẹsiwaju .doc.js. Windows yoo ṣe afihan suffix akọkọ nikan, nitorinaa yoo han si olufaragba bi iwe Ọrọ kan.
Aami JS yoo han ni aami yi lọ nikan. Kii ṣe iyalẹnu pe ọpọlọpọ eniyan yoo ṣii asomọ yii ni ero pe o jẹ iwe Ọrọ kan.
Ninu apẹẹrẹ mi, Mo ṣe atunṣe PowerShell loke lati ṣe igbasilẹ iwe afọwọkọ lati oju opo wẹẹbu mi. Iwe afọwọkọ PS latọna jijin kan tẹjade “Malware buburu”. Bi o ti le ri, oun kii ṣe ibi rara. Nitoribẹẹ, awọn olosa gidi ni o nifẹ lati ni iraye si kọǹpútà alágbèéká kan tabi olupin, sọ, nipasẹ ikarahun aṣẹ. Ninu nkan ti o tẹle, Emi yoo fihan ọ bi o ṣe le ṣe eyi ni lilo PowerShell Empire.
Mo nireti pe fun nkan ibẹrẹ akọkọ a ko jinlẹ ju sinu koko-ọrọ naa. Ni bayi Emi yoo jẹ ki o gba ẹmi, ati ni akoko atẹle a yoo bẹrẹ wiwo awọn apẹẹrẹ gidi ti awọn ikọlu nipa lilo malware ti ko ni faili laisi awọn ọrọ iforo ti ko wulo tabi igbaradi.
orisun: www.habr.com