بدافزارهای Filless چیست؟ PowerShell بهره برداری

بدافزارهای فیلترشکن معمولاً از PowerShell برای انجام حملات بر روی سیستم شما استفاده می کنند بدون اینکه هیچ اثری از آن باقی بماند. این نوع حمله همچنین به عنوان یک حمله بدون صفر شناخته می شود و تشخیص آن بسیار دشوار است زیرا به تکیه بر باینرهای مخرب خارجی (و قابل ردیابی) خارجی در سیستم شما متکی نیست. در عوض ، از ابزارهای شخصی شما علیه شما استفاده می کند.

از دیدگاه امنیت سایبری ، آنچه که عفونت های بی پروا را مقابله می کند بسیار دشوار است این است که آنها بسیاری از فرآیندهای کلیدی را که می توانید برای امنیت سیستم خود استفاده کنید ، بدست می آورند. با وجود نداشتن پرونده ای که به عنوان منبع عفونت عمل کند ، اسکنر ویروس نمی تواند حملات بدون فیلتر را تشخیص دهد ، و سیستم های شناسایی مبتنی بر امضا خیلی بهتر نمی شوند. این بدان معنا نیست که بدافزارهای فیلترشکن غیر قابل کشف هستند. بلکه این بدان معناست که شما باید سیستمی را مستقر کنید که بتواند نوع فعالیتی را که این نوع حمله ایجاد می کند ، تشخیص دهد. Varonis یکی از این سیستم ها است.

هرگز زمان بهتری برای به کارگیری نرم افزار نظارت بر فعالیت مانند این وجود نداشته است ، زیرا به نظر می رسد حمله هایی که از بدافزارهای بدون فیلتر استفاده می کنند در حال افزایش است. سال گذشته عناوین فناوری بسیاری راجع به این تکنیک به ارمغان آورد ، و کارشناسان امنیتی می گویند این روند رو به افزایش است.

دوره ما در PowerShell به شما کمک می کند تا داده های خود را ایمن نگه دارید ، در حالی که ما توضیح خواهیم داد که بدافزارهای بی فایده چیست ، چگونه کار می کند و نحوه جلوگیری از نفوذ آن به سیستم رایانه و سرقت اطلاعات شما. به این مقاله به عنوان Malware 101 Filless فکر کنید ، و به عنوان مکمل راهنماهای دقیق تر ما استفاده کنید.

راهنمای بدافزارهای Filless

در وارونیس ، ما خطرات بدافزارهای فیلترشده را برای سنین و روش های قبل از موارد اخیر ذکر کرده ایم. سنبله در حملات. چند سال پیش ، ما یک سری راهنماهای مفصل را در مورد بدافزارهای بدون فیلتر نوشتیم. اینها همه چیز را شامل می شود از اصول اساسی این نوع حمله گرفته تا اسکریپت های VBA مبهم تر و پیشرفته.

حمله به بدافزارهای بی پروا چیست؟

اصول اولیه. حمله نرم افزارهای مخرب بدافزار معمولاً (اما نه همیشه) با یک نامه فیش حاوی یک payload شروع می شود که بطور خودکار با هکر از راه دور ارتباط برقرار می کند – به عنوان مثال از طریق یک تروجان یا RAT دسترسی از راه دور. بنابراین با کمی تلاش ، سارقان سایبر پشت فایروال هستند و قابلیت راه اندازی برنامه های بومی و همچنین مرور و جستجوی سیستم پرونده برای داده های حساس را دارند.

به طور جدی ، حملات بدون فیلتر نیازی به کپی کردن باینری های خارجی ندارند. به دستگاهها در عوض ، آنها می توانند از نرم افزارهای موجود ، به ویژه PowerShell ، برای بارگیری اسکریپت های اضافی استفاده کنند و آنها را صرفاً در حافظه اجرا کنند ، تشخیص آنها را بسیار دشوار می کند.

سپس یک مهاجم به سیستم شما دسترسی پیدا کرد ، از انواع مختلفی از ابزارهای موجود استفاده می کند و تکنیک هایی برای حرکت جانبی در داخل سیستم و جستجوی اطلاعات حساس فراتر از نقطه ورود اولیه.

SecureWorks خاطرنشان کرده است که حتی پروتکل دسک تاپ ویندوز ساده (RDP) توسط مهاجمان برای به طور مؤثر خودی شدن استفاده می شود ، به آنها امکان می دهد بین سرورها و سپس وانیل FTP ، که معمولاً در سیستم موجود است ، می تواند وسیله ای برای لایه برداری از داده ها باشد.

ممکن است ما اضافه کنیم که ابزارهای دیگر مانند ncat ، psexec ، ssh و PowerShell ابزارهای مهمی در کاهش چمدان های بدافزار دارند. در مورد ممنوعیت موارد ذکر شده چندان کار زیادی وجود ندارد: آنها برای سرپرست IT ، توسعه دهندگان و بسیاری از کاربران دیگر ضروری هستند.

اما هنگامی که هکرها از نرم افزار داخلی استفاده می کنند ، این بدان معنی است که آنها را ترک نمی کنند. بیشتر دنباله پزشکی قانونی نژادهای جدید حمله به دور دیوارهای فایروال (یا از پورت های عمومی استفاده می کنند) جلوگیری می کنند و از شناسایی سیستم های نفوذی در سطح سازمانی و جلوگیری از اسکنرهای ویروس جلوگیری می کنند.

چگونه بدافزارهای Fileless کار می کند؟ مانند PowerShell فوق الذکر بلکه سایر زبانهای اسکریپتینگ ، در درجه اول VBA و JScript. و سپس آنها را برای اجرای سایر نرم افزارهای Windows استفاده کنید. نکته کلیدی: یک مدیر امنیتی با مشاهده این فعالیت ها هیچ چیز غیر معمولی را نمی تواند کنترل کند

چگونه یک حمله رخ می دهد؟

معمولاً حملات به مهندسی اجتماعی متکی هستند تا کاربران بتوانند روی یک پیوند یا پیوست در یک ایمیل فیشینگ کلیک کنند. برخلاف حمله بدافزار استاندارد ، پرونده بارگذاری اولیه اغلب یک اسکریپت جاسازی شده کوچک است. کار این است که وارد "پناهگاه داخلی" شده و سپس خود را با استفاده از ویندوز اسکریپت لیست سفید لیست کنید – wscript.exe یا script.exe

غالباً ، این اسکریپت های کوچک مبهم و یا جزئی رمزگذاری می شوند تا کلمات کلیدی واضح نباشند. شناسایی شده توسط نرم افزار مانیتورینگ داخلی. هنگامی که اسکریپت ها توسط کارمند ناشناس راه اندازی می شوند ، آنها معمولاً زنجیره ای از بارگیری بدافزارها را آغاز می کنند که شناسایی آنها دشوار خواهد بود زیرا آنها در حافظه اجرا می شوند (به تصویر زیر مراجعه کنید.)

فراتر از این توضیحات کلی ، چند سناریوی متداول وجود دارد. حملات بدون فیلتر ممکن است رخ دهد:

• Instrumentation Management Windows (WMI) و Microsoft PowerShell برخی از ابزارهای قدرتمندی هستند که هکرها برای دستکاری تقریباً در هر قسمت از سیستم ویندوز از آنها استفاده می کنند.
• ایمیل های فیشینگ ، بارگیری های مخرب و پیوندهایی که ظاهراً قانونی به نظر می رسند متداول ترین راههای ارائه بدافزارهای بدون فیلتر هستند. با وجود این ، برخلاف بدافزار معمولی ، اسکریپت های ریز که منجر به حملات بدون فیلتر می شوند ، رمزگذاری می شوند.
• برنامه های کاربردی کاربر مشترک مانند Microsoft Word یا Excel یک مکانیزم بزرگ تحویل برای بدافزارهای فیلترشده هستند. VBA گزینه ای برای پرونده های Office خواهد بود ، اما همچنین JScript می تواند در پرونده های معمولی تعبیه شود ، که می توان آنها را پنهان کرد – با استفاده از پسوند ".". پسوند doc. "- مانند یک فایل Word. در هر صورت ، هنگام کلیک بر روی پرونده ، اسکریپت راه اندازی می شود.
• نفوذ جانبی اغلب هدف اصلی حملات بدافزارهای بدون فیلتر است. هکرها فقط به دسترسی به PowerShell یا Word علاقه ندارند. در عوض ، آنها ابتدا این سیستم ها را به خطر می اندازند و سپس از آنها برای دستیابی به دیگران استفاده می کنند.
• وب سایت های دارای نگاه قانونی و دیگر سوراخ های آبیاری که در واقع مخرب هستند وسیله دیگری برای ارائه بدافزارهای فیلترشده است. جاسوسی تعبیه شده در این سایت ها یک تهدید فزاینده است.

دلایل مهاجمان از بدافزارهای بدون فیلتر استفاده می کنند

دلیل اصلی استفاده مهاجمان از بدافزارهای بدون فیلتر است. علاوه بر این ، هنگامی که یک مهاجم امکان دسترسی به برنامه های معتبر و لیست های سفید مانند PowerShell و سایر ابزارهای موجود در سایت را داشته باشد ، می تواند دستورات خود را بدون اجرای داخلی اجرا کند.

PowerShell ، در واقع ، هدف اصلی اکثر بدافزارهای فیلترشده است ، و در بعضی جاها حتی ممکن است این نوع حمله را با عنوان "بدافزار PowerShell" ببینید. دلیلی که مهاجمان PowerShell را هدف قرار می دهند ، فراتر از مواردی که قبلاً ذکر شد ، این است که PowerShell نوعی رمزگذاری بومی را اجرا می کند – گزینه رمزگذاری شده – که می تواند با استفاده از بدافزارهای فیلترشکن برای جلوگیری از شناسایی ، از آن استفاده کند.

برای اینکه با جزئیات بیشتری دلایل آن را درک کنیم. مهاجمان از بدافزارهای بدون فیلتر استفاده می کنند – و برای درک اینکه چه چیزی باعث خطرناک شدن آن می شود ، تعریف چند اصطلاح کلیدی مفید است:

• Stealth یک تکنیک کلیدی در انواع هک ها است ، اما "مخفی کاری نهایی" از بدافزارهای فیلترشکن به معنای این است که این می تواند از همه به جز پیشرفته ترین نرم افزار شناسایی تهدید جلوگیری کند. گرچه ، با سلام ، نمی تواند از وارونیس فرار کند.
• Living-off-the-land اصطلاحی است که به هکرهایی که از سیستم ها و برنامه هایی که قبلاً بر روی سیستم شما نصب شده اند – مانند PowerShell و JavaScript – برای اجرای حملات استفاده می کنند. از آنجا که این سیستم ها از قبل نصب شده اند و از قبل مورد اعتماد هم سیستم عامل شما و هم سیستم های شناسایی تهدید شما هستند ، بدون نیاز به نفوذ نرم افزارهای اضافی به سیستم های شما ، به مهاجمان فرصت بزرگی ارائه می دهند.
• برنامه های مورد اعتماد و مکرر مواردی هستند که توسط سرپرست سیستم برای نظارت و دستکاری سیستم ها استفاده می شود. این برنامه ها دو ویژگی اصلی دارند که آنها را به عنوان یک هدف برای هکرها و بویژه برای بدافزارهای بدون فیلتر تبدیل می کنند. اول ، آنها دسترسی زیادی به بسیاری از قسمت های دیگر شبکه شما دارند و در واقع این چیزی است که آنها را مفید می کند. دوم ، آنها به کلیه برنامه های دیگر در سیستم شما بسیار مورد اعتماد هستند ، و این امر باعث می شود فعالیت های مخرب بسیار دشوار باشد.

تجزیه و تحلیل نمونه های PowerShell و تکنیک های Attack From the Wild

مقدمه خوبی برای روشی که حملات بدافزارهای بدون فیلتر کار می کنند ، اسکریپت هایی هستند که در مقاله ما در مورد PowerShell قرار داده ایم. در آنجا ، ما به تجزیه و تحلیل سایت ترکیبی ، که مخزن مخرب بدافزارهای اسیر نشده در مناطق وحشی را ضبط کرده است ، اکتشاف کردیم.

علاوه بر نمونه ها ، HA علاوه بر نمونه ها ، عملکردهای مخرب را نیز ارائه می دهد ، بنابراین سایت را برای خود بررسی کنید. . تجزیه و تحلیل ترکیبی بدافزارهای ارسال شده را در جعبه ماسه ای خود اجرا می کند ، و مکالمات سیستم ، فرآیندهای راه اندازی شده و فعالیت اینترنت و همچنین بیرون کشیدن رشته های متن مشکوک را مانیتور می کند.

برای باینری ها و سایر اجرایی ها به طور خاص ، جایی که حتی نمی توانید به کد سطح واقعی واقعی نگاه کنید ، این تکنیک کانتینر به HA اجازه می دهد تا براساس فعالیت زمان اجرا خود تصمیم بگیرد که آیا این بدافزار بد است یا صرفاً مشکوک است. و سپس آنها به آن نمرات می پردازند.

برای PowerShell و سایر نمونه های اسکریپت نویسی (Visual Basic ، JavaScript و غیره) که من به دنبال آن بودم ، نمی توانم کد واقعی را ببینم. به عنوان مثال ، ما با این موجود PowerShell روبرو شدیم:

اگر پست های مبهم ما را خوانده اید ، می دانید که پارامتر -e نشان می دهد که آنچه در زیر آمده است رمزگذاری شده base64 است. به هر حال آنالیز ترکیبی با کمک PowerShell رمزگشایی شده نیز کمک می کند. اگر می خواهید رمزگشایی base64 PS را به تنهایی امتحان کنید ، می توانید این دستور را برای انجام کار اجرا کنید:

 $ DecodedText = [System.Text.Encoding] :: Unicode.GetString ([System.Convert] :: FromBase64String ($ EncodedText)) [19659045مااسکریپترابااستفادهازاینتکنیکرمزگشاییکردیم،ومیتوانیدنتیجهبدمخربPowerShellبدستآمدهرادرزیرمشاهدهکنید


 ما قبلاً این شیوه حمله خاص را دیده ایم - در سری PS obfuscation - که در آن پایه رمزگذاری شده base64 PS خود بیشتر بدافزارها را از سایت دیگری بیرون می کشد و ایجاد می کند. خالص چارچوب WebClient برای انجام عمل بالا بردن. چرا این رویکرد؟ 
 برای نرم افزار امنیتی که ثبت رویداد واقعه ویندوز را اسکن می کند ، رمزگذاری base64 مانع از مطابقت الگوی مبتنی بر متن از انجام تشخیص آسان می شود - مطابق گفته رشته "WebClient". 
 در مثال بالا توجه داشته باشید. ، استفاده از روش DownloadString برای موضوع WebClient. این روشی است که بدافزار اضافی PowerShell بارگیری می شود و به درون برنامه PS تزریق می شود ، و کاملاً از شناسایی جلوگیری می کند. 
 یا به همین ترتیب فکر کردیم. 
 به نظر می رسد با ورود پیشرفته تر Windows PowerShell فعال شده است - این پست را مشاهده کنید - می توانید به طور مؤثر رشته بارگیری شده را در سیاهه وقایع مشاهده کنید. با این حال ، هکرها سپس با رمزگذاری پایگاه داده از طریق راه دور ، به رمزگذاری پایگاه داده 64 پاسخ دادند ، بنابراین می تواند در پرونده رویدادهای Windows مانند نمونه رمزگذاری شده فوق ظاهر شود. 
 نمونه های دنیای واقعی در تجزیه و تحلیل ترکیبی ، این ایده را یک قدم جلوتر برمی دارند. همانطور که در بالا اشاره کردیم ، هکرها هوشمندانه این حمله PowerShell را در ماکروهای مایکروسافت آفیس که در ویژوال بیسیک و اسکریپت های دیگر نوشته شده است ، پنهان می کنند. ایده این است که فرد قربانی نامه فیش را از مثلاً FedEx دریافت می کند ، با یک سند Word که به عنوان فاکتور توصیف شده است. او سپس بر روی دکمه ای که سپس ماکرو را راه اندازی می کند کلیک می کند که در نهایت راه اندازی واقعی PowerShell را انجام می دهد. 
 می بینید که اسکریپت ویژوال بیسیک به خودی خود دچار مشکل شده است به طوری که از اسکنرهای ویروس و بدافزار جلوگیری می کند! 
 بله ، پیچیده و شر است. . و این فقط یک شیرجه بسیار کم عمق است. 
 با توجه به مطالب فوق ، ما تصمیم گرفتیم که به عنوان یک تمرین تمرینی ، PowerShell فوق را در برخی از جاوا اسکریپت مبهم محصور کنیم. می توانید نتایج حاصل از کار دستکاری هکری ما را مشاهده کنید: 

 یک تکنیک وجود دارد که ما از نمونه های "در طبیعت" وام گرفته ایم: استفاده از Wscript.Shell برای راه اندازی PowerShell رمزگذاری شده واقعی. این راهی برای خارج شدن از محیط اسکریپت برای تعامل با بقیه سیستم است. 
 به هر حال ، جاوا اسکریپت به تنهایی وسیله ای برای ارائه نرم افزارهای مخرب است. بسیاری از محیط های ویندوز به طور پیش فرض ویندوز اسکریپت میزبان را دارند که مستقیماً JS را اجرا می کند. در این سناریو ، بدافزار JS در حال محاسبه به عنوان پرونده ای با پسوند .doc.js وصل شده است. ویندوز فقط پسوند اول را نشان می دهد ، بنابراین به عنوان یک سند Word برای قربانی ظاهر می شود. نماد JS به صورت گرافیکی شبیه پیمایش ارائه می شود. جای تعجب نیست که مردم روی این پیوست فکر می کنند که یک سند است. 

 برای محرمانه کردن بدافزار JavaScript ، ما نمونه PowerShell را در بالا اصلاح کردیم تا یک اسکریپت را از وب سایتی که کنترل می کنیم بارگیری کنیم. اسکریپت از راه دور PS فقط "Evil Malware" را چاپ می کند. 
 خیلی شر نیست. 
 البته ، هکرهای واقعی علاقه دارند که به یک لپ تاپ یا سرور دسترسی پیدا کنند ، به عنوان مثال ، از طریق یک پوسته ... 
 Malware Detection Detect و پیشگیری با وارونیس 
  هنگامی که هکرها از بدافزارهای filless برای سوء استفاده از نرم افزارهای موجود در سایت استفاده می کنند ، این بدان معنی است که آنها خیلی از نتایج پزشکی قانونی را ترک نمی کنند. نسل جدید مهاجمان در حال عبور از دیوارهای آتش (یا استفاده از درگاه های عمومی) هستند و از شناسایی توسط سیستم های نفوذی در سطح شرکت و جلوگیری از اسکنر ویروس جلوگیری می کنند. 
 البته اجرای احراز هویت دو عاملی ، شبکه محدود برای کاربران متوسط ​​و اجرای رمز عبور سیاست فقط برخی از میوه های کم مصرف است که باعث می شود هکرها نتوانند زندگی در خارج از زمین را سخت کنند. 
 SecureWorks همچنین توصیه می کند روی رفتارهای مهاجم تمرکز کنید ، و سپس هشدار دهید که فعالیت حساب هک شده کاربران از حالت عادی متفاوت است. به عنوان مثال ، یک اتصال RDP که در یک زمان غیرمعمول برای آن کاربر رخ می دهد ، پرونده هایی که کپی شده یا مشاهده شده اند که برای آن کاربر معمولی نیست ، یا برخی دیگر از مواردی که کشف شده است. 
 البته ، در وارونیس این موسیقی به گوش ما است! 
 راه حل های ما از تجزیه و تحلیل رفتار کاربر یا UBA مدت ها قبل از این که به یک موضوع مرسوم تبدیل شود ، استفاده شده است. با توجه به اینکه هکرها اکنون بیشتر روی استفاده کمتر از بدافزارها و یا به هیچ وجه نرم افزارهای مخرب متمرکز شده اند ، UBA شاید به تنها راهی برای کشف نقض شده شما تبدیل شود. 
 A Final Word 
 بدافزارهای بی پروا نه تنها یک تهدید خطرناک است: بلکه یک مسئله رو به رشد نیز هست. این نوع حمله از ابزارهای شخصی شما - و به ویژه ابزارهای PowerShell - علیه شما استفاده می کند ، و تشخیص آن بسیار دشوار است. 
 خوشبختانه ، راه حلی وجود دارد. با نظارت دقیق فعالیت های کاربر روی سیستم های خود با استفاده از ابزاری مانند Varonis ، می توانید فعالیت های مخرب و حتی مواردی را ایجاد کنید که توسط حملات بدافزارهای ناخوشایند ایجاد شده است.