Сулейман Озарслан, PhD
В 2019 году Picus Labs проанализировала 48813 вредоносных программ, чтобы определить тактику, методы и процедуры (TTP), используемые злоумышленниками в этих вредоносных файлах. Picus Labs классифицировала каждую наблюдаемую ТТП, используя структуру MITER ATT & CK ®. В результате настоящего исследования 445018 TTP, наблюдаемых в прошлом году, были сопоставлены с ATT & CK, чтобы определить 10 наиболее распространенных методов, используемых злоумышленниками. обнаружил, что скрипты были шестым по распространенности техникой ATT & CK, которую злоумышленники использовали в своих вредоносных программах.
Упражнения красных и синих команд
Red Teaming - Как моделировать?
В этом упражнении мы объясняем реальный код VBA, который использовался вредоносным ПО Emotet. Мы проанализировали эту полезную нагрузку в следующих сообщениях нашего блога:
- Технический анализ Emotet - Часть 1: раскрыть злой код
- Технический анализ Emotet - представлена часть 2 PowerShell
Эта полезная нагрузка была включена в следующий документ Word:
В 2014 году исследователи впервые определили Emotet как банковское вредоносное ПО, ворующее конфиденциальную и личную информацию. Теперь злоумышленники используют Emotet как инфраструктуру как услугу (IaaS) для доставки вредоносных программ, в том числе других банковских троянов. Emotet включил различные методы обфускации и уклонения, чтобы избежать обнаружения в своей полезной нагрузке.
Если вы хотите узнать больше о MITER ATT & CK, загляните в нашу группу LinkedIn со всеми последними новостями! Https://www.linkedin.com/groups/8955879/
Вкратце, код VBA, встроенный в документ Word, выполняет закодированную команду PowerShell с помощью WMI, затем код PowerShell загружает вторую полезную нагрузку Emotet. Инструментарий управления Windows (WMI) - это инфраструктура для управления данными и операциями в операционных системах на базе Windows [23].
Разберем и проанализируем команду:
Do While GetObject(winmgmtS:win32_Process).Create()
: ВDo While
loop методCreate
изWin32_Process class
WMI
используется для создания нового процесса. Первая переменная этого метода - это кодCommandLine
для выполнения, который в этом коде является командойPowerShell
.Powershell -w hidden
: Нет параметра с именем-w
согласно официальнойPowerShell
документации [24]. Фактически, параметр-w
завершаетсяPowerShell
как параметр -WindowStyle
из-за функции завершения подстроки параметраPowerShell
. Злоумышленники обычно используют параметр -WindowStyle со значениемHidden
во вредоносныхPowerShell
командах, чтобы избежать обнаружения.-en:
Подобно-w
, согласно официальной документации PowerShell [24] не существует параметра с именем-en
. Параметр-en
завершается как параметр -EncodedCommand с помощьюPowerShell
.-EncodedCommand
принимает строковую версию команды в кодировке base-64. Следовательно, мы должны использовать декодированиеbase64
, чтобы выявить командуPowerShell
.
Мы получим следующий код после base64
декодирования, удаления ненужных переменных, обратных кавычек (`
) и плюсов (+
), а также установки значений переменных и украшения кода. Вы можете прочитать подробности этого процесса деобфускации в нашем блоге [25].
Вкратце, этот код пытается загрузить файл из URLS, включенных в массив $list
, в заданном порядке с помощью метода Net.WebClient.DownloadFile
и сохраняет загруженный файл в каталог $env:userprofile
как 937.exe
.
В заключение, код VBA, приведенный в этом упражнении, включает следующие методы MITER ATT & CK:
- T1059.005 Интерпретатор команд и сценариев: Visual Basic
- T1047 Инструментарий управления Windows
- T1059.001 Интерпретатор команд и сценариев: PowerShell
- T1564.003 Скрыть артефакты: скрытое окно
- T102 Обфусцированные файлы или информация
Blue Teaming - Как обнаружить?
Следующее правило сигмы можно использовать для обнаружения WMI DLL, загружаемых с помощью макросов VBA в файлах Word, Excel, PowerPoint и Outlook:
использованная литература
[23] stevewhims, Инструментарий управления Windows. [Онлайн]. Доступно: https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmi-start-page. [Доступ: 11 августа 2020 г.]
[24] SteveL-MSFT, about_PowerShell_exe - PowerShell. [Онлайн]. Доступно: https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_powershell_exe. [Доступ: 11 августа 2020 г.]
[25] С. Озарслан, Технический анализ Emotet - презентация PowerShell, часть 2. [Онлайн]. Доступно: https://www.picussecurity.com/blog/emotet-technical-analysis-part-2-powershell-unveiled. [Доступ: 12 августа 2020 г.]
Первоначально опубликовано на https://www.picussecurity.com.