PowerShell无文件持久化技术与常用的防御绕过技术
|
副问题[/!--empirenews.page--]
今朝为止,PowerShell如故是收集安详专家举办防止和黑客举办进攻的首选器材。缘故起因很简朴,PowerShell具有很好的可扩展性,支持手段以及顺应各类编程说话。如PowerShell Empire,PowerSploit等,都被安详研究职员以及黑客所行使。 这两天,就有安详平台检测出了有恶意软件操作PowerShell所举办的进攻,该进攻可以举办耐久性进攻并绕过传统安详防护的检测。恶意软件会拐骗用户对网站上的Adobe Flash赏识器插件举办更新,然后行使一个称为mshta.exe的HTA进攻要领。 MSHTA.exe是一个正当的Microsoft二进制文件,可以在任何赏识器中被挪用,用于执行.HTA文件。不外在大大都环境下,对MSHTA.exe的扩展都属于恶意扩展,以是我们提议开启防火墙里全部阻止HTA扩展的成果。 今朝操作MSHTA.exe举办进攻的要领已经被列入社会工程学进攻包(SET)多年了:
假如被MSHTA.exe进攻了,就会产生上图所列的那些环境。黑客也许是操作了VBS下载器,PowerShell,一个被下载和执行的二进制文件等等来执行的MSHTA.exe进攻。 今朝,在大大都环境下,这种垂纶收集进攻都可以或许被检测到,如下图所示, 一旦网页启动了恶意HTA ,就能被当即检测到。
一旦产生这种环境,PowerShell呼吁就会被执行,由于这个HTA会触发了多个伤害提醒。凡是,恶意HTA会触发SYSWOW64降级进攻,将历程降级为32位历程,从而给方针装备注入shellcode。 在我们对进攻日记举办说明时,我们发明Invoke-Expression(IEX)是一种常用的进攻技能,操作这种技能可以提取特定的注册表项,并实现耐久化的挂钩( hook)。PowerShell进攻是通过Invoke-Expression(IEX)挪用.Net Web Client下载成果来下载赏识器上的PowerShell代码并执行。不外,提取的注册表项的名称和耐久性挂钩城市在初始PowerShell挪用中颠末夹杂处理赏罚。
在这个由Invoke-Expression引起的进攻中,进攻者会在CurrentVersion Run下的用户设置文件下建设了一个注册表项,以作为耐久性挂钩的起始位置。 通过研究耐久性挂钩的日记,我们发明夹杂后的耐久性注册表挂钩如下:
反夹杂后的耐久化注册表挂钩如下:
这一系列进程,就是我们本文所说的无文件进攻技能,也称为有用载荷转达进攻技能,由于该进攻技能不是直接将特定的有用载荷写入文件的,而是通过运行注册表项来在方针装备中实现耐久化注入。 在文件进攻技能中,mshta.exe会行使WScript.shell来挪用嵌入了PowerShell呼吁的注册表项。今朝,这种无文件进攻至今还无法被检测到。不外,“无文件”并不是真的没有文件的意思,而是指的有用载荷,关于什么是无文件恶意软件,请点击这里举办具体相识。 行使方针装备的PowerShell和mshta,进攻者可以行使传统的进攻技能来对方针装备举办恶意文件的下载及后门的安装。凡是黑客会行使Invoke-Expression(IEX)来举办绕过并行使PowerShell的“EncodedCommand”参数以逃避安详软件的检测。 最近,安详研究员Vincent Yiu就展示了一种通过PowerShell来绕过传统检测的要领,该要领没有挪用任何IEX和EncodedCommand。今朝这种要领已开始被普及行使了,好比下图这个例子,就是操作了“.”来挪用calc.exe的。在这个例子中,因为没有挪用其他代码,以是无需行使该代码来分派变量。
那么,在这种环境下,网站的TXT将记录下载PowerShell的呼吁,并通过nslookup在体系上执行该呼吁。这意味着我们可以把呼吁代码注入到DNS中的TXT记录中,并启动PowerShell呼吁。 开头我们所提到的那家安详平台就可以就可以通过这种PowerShell的运行,来检测出恶意运行。
假如检测到nslookup以及通过nslookup提代替码的举动,则该平台就能立马检测到这种恶意举动,由于PowerShell内部行使的nslookup以及在txt记录中的代码都是恶意的。其它,上面例子中的“.”只能执行文件,而不是执行代码自己。因此,我们还必要另一个呼吁,来执行从nslookup txt记录中提取的代码。 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
