Pẹlu nkan yii a bẹrẹ lẹsẹsẹ awọn atẹjade nipa malware ti ko lewu. Awọn eto sakasaka aisi faili, ti a tun mọ si awọn eto sakasaka ti ko ni faili, ni igbagbogbo lo PowerShell lori awọn eto Windows lati fi ipalọlọ ṣiṣẹ awọn aṣẹ lati wa ati jade akoonu to niyelori. Ṣiṣawari iṣẹ agbonaeburuwole laisi awọn faili irira jẹ iṣẹ ti o nira, nitori… awọn antiviruses ati ọpọlọpọ awọn ọna ṣiṣe wiwa miiran ṣiṣẹ da lori itupalẹ ibuwọlu. Ṣugbọn iroyin ti o dara ni pe iru sọfitiwia naa wa. Fun apere,
Nigbati mo kọkọ bẹrẹ iwadii koko-ọrọ ti awọn olosa buburu,
Agbara nla ati Alagbara
Mo ti kọ nipa diẹ ninu awọn imọran wọnyi ṣaaju ninu
Ni afikun si awọn ayẹwo funrararẹ, lori aaye naa o le rii kini awọn eto wọnyi ṣe. Itupalẹ arabara nṣiṣẹ malware ninu apoti iyanrin tirẹ ati ṣe abojuto awọn ipe eto, awọn ilana ṣiṣe ati iṣẹ nẹtiwọọki, ati yọkuro awọn gbolohun ọrọ ifura. Fun awọn alakomeji ati awọn faili ipaniyan miiran, i.e. Nibiti o ko le paapaa wo koodu ipele-giga gangan, itupalẹ arabara pinnu boya sọfitiwia jẹ irira tabi o kan ifura da lori iṣẹ ṣiṣe asiko rẹ. Ati lẹhin naa a ti ṣe ayẹwo ayẹwo tẹlẹ.
Ninu ọran ti PowerShell ati awọn iwe afọwọkọ apẹẹrẹ miiran (Visual Basic, JavaScript, ati bẹbẹ lọ), Mo ni anfani lati wo koodu funrararẹ. Fun apẹẹrẹ, Mo pade apẹẹrẹ PowerShell yii:
O tun le ṣiṣẹ PowerShell ni ipilẹ koodu base64 lati yago fun wiwa. Ṣe akiyesi lilo awọn paramita ti kii ṣe ibaraẹnisọrọ ati ti o farapamọ.
Ti o ba ti ka awọn ifiweranṣẹ mi lori obfuscation, lẹhinna o mọ pe aṣayan -e pato pe akoonu jẹ koodu base64. Nipa ọna, itupalẹ arabara tun ṣe iranlọwọ pẹlu eyi nipa yiyan ohun gbogbo pada. Ti o ba fẹ gbiyanju yiyipada base64 PowerShell (lẹhinna tọka si PS) funrararẹ, o nilo lati ṣiṣẹ aṣẹ yii:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
Lọ jinle
Mo ṣe iyipada iwe afọwọkọ PS wa ni lilo ọna yii, ni isalẹ ni ọrọ ti eto naa, botilẹjẹpe MO ṣe atunṣe diẹ:
Ṣe akiyesi pe iwe afọwọkọ naa ti so si ọjọ Oṣu Kẹsan 4, 2017 ati awọn kuki igba ti o tan kaakiri.
Mo ti kowe nipa yi ara ti kolu ni
Kini o jẹ fun?
Fun sọfitiwia aabo sọfitiwia ṣiṣe ayẹwo awọn akọọlẹ iṣẹlẹ Windows tabi awọn ogiriina, fifi koodu base64 ṣe idiwọ okun “WebClient” lati rii nipasẹ apẹrẹ ọrọ itele lati daabobo lodi si ṣiṣe iru ibeere wẹẹbu kan. Ati pe niwọn igba ti gbogbo “buburu” ti malware jẹ igbasilẹ lẹhinna ti o kọja sinu PowerShell wa, ọna yii nitorinaa gba wa laaye lati yago fun wiwa patapata. Tabi dipo, iyẹn ni ohun ti Mo ro ni akọkọ.
O wa ni pe pẹlu Windows PowerShell Advanced Logging ṣiṣẹ (wo nkan mi), iwọ yoo ni anfani lati wo laini ti kojọpọ ninu akọọlẹ iṣẹlẹ naa. Mo dabi
Jẹ ki a ṣafikun awọn oju iṣẹlẹ afikun
Awọn olosa pẹlu ọgbọn tọju awọn ikọlu PowerShell ni awọn macros Microsoft Office ti a kọ sinu Ipilẹ wiwo ati awọn ede kikọ miiran. Ero naa ni pe olufaragba gba ifiranṣẹ kan, fun apẹẹrẹ lati iṣẹ ifijiṣẹ, pẹlu ijabọ ti a so ni ọna kika .doc. O ṣii iwe yii ti o ni Makiro ninu, o si pari ṣiṣe ifilọlẹ PowerShell irira funrararẹ.
Nigbagbogbo iwe afọwọkọ Ipilẹ Visual funrarẹ jẹ aibikita ki o yago fun ọlọjẹ larọwọto ati awọn ọlọjẹ malware miiran. Ninu ẹmi ti o wa loke, Mo pinnu lati koodu PowerShell loke ni JavaScript gẹgẹbi adaṣe. Ni isalẹ ni awọn abajade iṣẹ mi:
Obfuscated JavaScript fifipamo PowerShell wa. Awọn olosa gidi ṣe eyi lẹẹkan tabi lẹmeji.
Eyi jẹ ilana miiran ti Mo ti rii lilefoofo ni ayika wẹẹbu: lilo Wscript.Shell lati ṣiṣẹ koodu PowerShell. Nipa ọna, JavaScript funrararẹ jẹ
Ninu ọran wa, iwe afọwọkọ JS irira ti wa ni ifibọ bi faili pẹlu itẹsiwaju .doc.js. Windows yoo ṣe afihan suffix akọkọ nikan, nitorinaa yoo han si olufaragba bi iwe Ọrọ kan.
Aami JS yoo han ni aami yi lọ nikan. Kii ṣe iyalẹnu pe ọpọlọpọ eniyan yoo ṣii asomọ yii ni ero pe o jẹ iwe Ọrọ kan.
Ninu apẹẹrẹ mi, Mo ṣe atunṣe PowerShell loke lati ṣe igbasilẹ iwe afọwọkọ lati oju opo wẹẹbu mi. Iwe afọwọkọ PS latọna jijin kan tẹjade “Malware buburu”. Bi o ti le ri, oun kii ṣe ibi rara. Nitoribẹẹ, awọn olosa gidi ni o nifẹ lati ni iraye si kọǹpútà alágbèéká kan tabi olupin, sọ, nipasẹ ikarahun aṣẹ. Ninu nkan ti o tẹle, Emi yoo fihan ọ bi o ṣe le ṣe eyi ni lilo PowerShell Empire.
Mo nireti pe fun nkan ibẹrẹ akọkọ a ko jinlẹ ju sinu koko-ọrọ naa. Ni bayi Emi yoo jẹ ki o gba ẹmi, ati ni akoko atẹle a yoo bẹrẹ wiwo awọn apẹẹrẹ gidi ti awọn ikọlu nipa lilo malware ti ko ni faili laisi awọn ọrọ iforo ti ko wulo tabi igbaradi.
orisun: www.habr.com