Как командите се превърнаха в новия метод за скрита атака
Как една елементарна дегизировка на команда заблуждава най-надеждните антивирусни стратегии...
Емил Василев преди 1 минута 22 СподелиНай-четени
IT НовиниЕмил Василев - 10:08 | 24.03.2025На милисекунди от злополуката: 60 центъра за данни с 1,5 GW мощ излязоха от строя едновременно
ХардуерДаниел Десподов - 16:20 | 24.03.2025Съединени американски щати и Израел стартират произвеждане на водородни бойни дронове с обхват 290 км
АвтомобилиСветлин Желев - 13:50 | 23.03.2025Джеръми Кларксън: „ Предупредих ви за Тесла още преди 17 години “
Емил Василевhttps://www.kaldata.com/Днес множеството антивирусни и EDR-системи наблюдават какви команди се извършват в системата. Именно по наличието на командния ред решенията за отбрана се пробват да схванат дали процесът е естествен или злоумишлен, само че се оказва, че нападателите могат елементарно да заобикалят тези инспекции, като просто трансформират външния тип на командата, без да трансформират нейната същина. Тази техника се назовава „ command-line obfuscation “, или обфускация на командния ред.
В предишното опасността се търсеше в злонамерените файлове – вируси, троянски коне и други, само че в този момент доста офанзиви въобще не употребяват злотворен програмен продукт. Вместо това се употребяват елементарни систематични помощни стратегии като PowerShell, curl, msiexec или taskkill.
Това се назовава навлизане без злотворен програмен продукт. Такава офанзива наподобява като естествена работа на компютъра и по тази причина е по-малко евентуално да провокира съмнение. За да се отсеят по някакъв метод сходни дейности, системите за отбрана започнаха да обръщат внимание на причините в командите.
Например, стартирането на „ taskkill /f /im winword.exe “ може да е безобидно, само че „ taskkill /f /im security_process.exe “ наподобява като опит за деактивиране на отбраната, само че даже и тук има трик: променете командите по този начин, че да наподобяват друго, само че да работят по един и същи метод. Това е същността на обфускацията.
Това маскиране е без значение от обвивката: то работи с помощта на особеностите на обработката на причините на самата стратегия. Например, можете да заменяте знаци, да вмъквате спомагателни, да употребявате странни кавички, да променяте размера на буквите. В резултат на това команда като „ reg export HKLMSAM out.reg “ се трансформира в „ rEg „ e “xP „ o “rT HK „ L “MS „ A “M ouT.ReG “, само че въпреки всичко работи. И най-важното е, че антивирусната стратегия може да не го разпознае като опасност.
В Windows има изключително доста такива трикове, като да вземем за пример:
Замяна на „ /f “ с „ -f “; Използване на специфични знаци вместо елементарни знаци, да вземем за пример „ ˣ “ вместо „ x “; Вмъкване на невидими или редки Unicode знаци в команди; Промяна на реда на аргументите; Скриване на пътя посредством „.. “, с цел да наподобява друго.При Linux и macOS триковете са по-малко, само че въпреки всичко ги има. Например, можете да съкратите част от дълъг мотив или да посочите IP адрес в необикновен формат, да вземем за пример „ 2130706433 “ вместо нормалния „ 127.0.0.1 “.
За да изследва до каква степен уязвими са систематичните помощни стратегии, създателят на плана ревизира 68 известни стратегии за Windows, като curl, taskkill, reg, powershell, msiexec и други. Той е основал специфичен инструмент, който автоматизирано ревизира дали работят команди с разнообразни обфускации. Ако резултатът е еднакъв, значи методът работи.
След това за всяка стратегия е основан специфичен файлов модел, който разказва кои трикове работят и кои не. Въз основа на моделите беше създаден инструментът Invoke-ArgFuscator, който знае по какъв начин да генерира команди с обфускация. Той прави това по авансово заложени правила и с друга степен на случайност, тъй че всякога командата да се оказва нова.
Всички резултати от проучването са събрани на уебсайт, където можете да изберете една от 68-те помощни стратегии, да въведете команда и да получите нейната обфускулирана версия. Можете също по този начин да променяте настройките, да деактивирате избрани способи или да създавате свои лични модели.
Въпреки, че тези способи вършат отбраната доста сложна, има способи да се справите с тях. Например, можете да търсите в командния ред за странни Unicode знаци, огромен брой кавички или внезапни промени в регистрите.
Можете също по този начин да възстановявате командата преди разбора – да премахнете спомагателните знаци, с цел да видите същинското ѝ значение, само че най-важното е да не разчитате единствено на текста на командата, а да наблюдавате държанието на процесите: да вземем за пример, в случай че msiexec ви води в интернет, това е съмнително, даже в случай че стартовият низ наподобява безопасен.
