• XSS.stack #1 – первый литературный журнал от юзеров форума

Filess malware

Отслеживать
Jeffs

Jeffs

(L1) cache
Забанен
Регистрация
28.12.2018
Сообщения
611
Реакции
358
Пожалуйста, обратите внимание, что пользователь заблокирован
Интересует тема бесфайловой малвари, поэтому задался вопросом:
Какие есть методы осуществления filess-атак?
Знаю, что в большинстве своём используется powershell, а точнее Invoke-Reflective, но не думаю, что всё только этим ограничивается.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Куча скриптового говна, предоставляемого виндой. VBScript/JScript, тут поле для маневров большое. Можно грузить дотнет при помощи [System.Reflection.Assembly]::Load через повершелл, и не только. Плюс интересная концепция была у Spidey Bot, советую погуглить.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
panarames сказал(а):
Куча скриптового говна, предоставляемого виндой. VBScript/JScript, тут поле для маневров большое. Можно грузить дотнет при помощи [System.Reflection.Assembly]::Load через повершелл, и не только. Плюс интересная концепция была у Spidey Bot, советую погуглить.
Почитал о нем, действительно, интересная реализация.
Есть ещё подобные примеры?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Jeffs сказал(а):
Почитал о нем, действительно, интересная реализация.
Есть ещё подобные примеры?
Неа, это строгий таргет. Вообще, как по мне, Спиди - хороший пример креативного подхода к написанию малвари, нужно брать пример с его авторов. А зачем тебе файлесс?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
panarames сказал(а):
А зачем тебе файлесс?
Да просто очень интересует эта тема, а инфы норм найти не могу
 
Jeffs сказал(а):
Да просто очень интересует эта тема, а инфы норм найти не могу
А конкретнее, что интересно? Так то fileless так определяется в основном потому, что как такового скантайма, в привычном понимании, для таких вещей нет. Поскольку не происходит касания диска вредоносом при передаче управления на тот же powershell, если брать его как пример. Что угодно исполняемое может «передать управление» на интерпретатор powershell в системе с аргументом в виде скрипта.
Суть сего действа ещё в том, что доставляешь ты не бинарщину, а простой текст по сути, который парсится и исполняется интерпретатором прям на тачке клиента. Поскольку это всего лишь текст, т.е данные, он может быть представлен в виде чего угодно(стеганография, просто зашифрованный блоб) и стаб, который не является вредоносным, может извлекать контент из блоба и как это называется «исполнить из строки». То, что никак не обходится в с/с++ без шеллкодов или заранее скомпилированных dll модулей. Т.е рефлексивные возможности. Вот собственно и все. А вот какие следствия вытекают из этого всего - более интересный вопрос, особенно с точки зрения анализа аверами такого контента, что в корне отличается от проверенных временем техник анализа дефолтных PE файлов.
 
500mhz сказал(а):
Где то видел кодес пример, запуск скрипта из ветки реестра, по факту файллес
На самом деле там много лютых векторов.
Берёшь, изучаешь что такое профили в powershell. Прописываешь туда алгоритм извлечение и запуска из блоба тела вредоноса. А дальше любым способом автозагрузки добавляешь ехе пш на авторан. Пш имеет сигнатурную подпись мс, и запускается с того же реестра вообще без аргументов каких либо палевных. Но при запуске идёт подтягивание профиля и indirect исполнение. Профит.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх