Bilgisayar korsanları, çeşitli saldırılar başlatmak için Windows’ta (ve bazen Linux’ta) yerleşik bir komut dosyası oluşturma aracı olan PowerShell’den yararlanır. PowerShell komut dosyaları kötü amaçlı yazılım indirebilir, antivirüs yazılımını atlayabilir, verileri çalabilir ve uzaktan erişim sağlayabilir.
Komut dosyaları saldırganlar için çekicidir çünkü yazılması kolaydır, gizleme teknikleri (kısmi ad eşleştirme gibi) nedeniyle tespit edilmesi zordur ve kötü niyetli eylemler için meşru sistem kaynaklarından yararlanır (“topraktan yaşamak”) ancak bazı araçlar bu PowerShell’i analiz edebilir Güvenli patlama ve adım adım izleme için komut dosyaları.
PowerShell komut dosyaları, Windows sistemlerinde kullanılan, yapılandırma yönetimi gibi meşru amaçlarla veya yükleme gibi kötü amaçlı amaçlarla kullanılabilen bir tür otomasyon aracıdır. kötü amaçlı yazılım.
Yeni PowerShell Komut Dosyası İzleyicisi betiğin işlevlerinin ve bunların birbirlerine nasıl bağlandığının ayrıntılı bir dökümünü sunarak analistlerin bir PowerShell betiğinin ne yaptığını anlamasına yardımcı olur; bu da analistlerin betikteki kötü amaçlı davranışları daha kolay tanımlamasına yardımcı olabilir.
Bilgisayar korsanları bunu genellikle aşağıdakiler gibi çeşitli kötü amaçlı eylemleri gerçekleştirmek için kullanır:
- Kötü amaçlı ikili dosyaları ayrı bir kaynaktan indirin ve çalıştırın.
- Komut dosyasını bellekte çalıştırarak antivirüs yazılımını atlayın.
- Kötü amaçlı komut dosyalarını yürütün.
- Sistem verilerini toplayın ve sızdırın.
- Etkilenen sistemi uzaktan kontrol edin.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
ANY.RUN’lar Komut Dosyası İzleyici, kötü amaçlı yazılımlarda kullanılan PowerShell komut dosyalarını analiz etmenize ve bunlara erişmenize yardımcı olur; arayüzün sağ tarafında, PowerShell komutları da dahil olmak üzere başlatılan işlemleri gösteren işlem ağacını bulur.
Daha fazla araştırma için Bu izleyicinin nasıl çalıştığını görebileceğiniz yerde, altta işlem ayrıntıları sekmesini görüntüleyen ağaçtaki belirli PowerShell işlemine tıklayın ve bu sekmenin içinde Komut Dosyası İzleyiciye erişmek ve ilgili ayrıntılı bilgiler edinmek için “Daha Fazla Bilgi”ye tıklayın. kodun gizlenmiş etkinlikleri.
Gelişmiş Ayrıntılar penceresi, genel işlem bilgilerini, ne yaptığına ilişkin ayrıntılı bir görünümle değiştirir.
Komut Dosyası İzleyici sekmesi, PowerShell yürütmelerine odaklanır ve işlem tarafından çağrılan işlevleri yukarıdan aşağıya doğru gösterir.
Bu, işlev çağrılarını ve bunların nasıl yürütüldüğünü inceleyerek sürecin nasıl işlediğini belirlemenize olanak tanır.
Kötü amaçlı bir program, System.Net.WebClient sınıfını kullanarak bir URL’den veri indirir. İndirilen veriler ikili niteliktedir ve Base64’te kodlanmıştır.
Program daha sonra FromBase64String yöntemini kullanarak verilerin kodunu çözer ve System.Unicode dizesini kullanarak bunu bir Unicode dizeye dönüştürür. Text.UnicodeEncoding.GetString.
İzlemedeki MZ imzası, dizenin programın yürütmek istediği gerçek PowerShell komutu olduğunu gösterir; bu büyük olasılıkla kodlanmış bir yürütülebilir dosyadır.
Sağlanan PowerShell kodu, çeşitli kötü niyetli niyet göstergeleri sergiler ve görüntü URL’lerinden ($links) veri indirerek ve indirilen içerikte gizlenmiş Base64 kodlu bir komutu çıkararak güvenlik önlemlerini (-windowstyle gizli, -executionpolicy bypass) atlayarak gizli yürütmeler gerçekleştirir ($) imageText.Substring).
Alınan bu komut daha sonra yürütülmek üzere doğrudan belleğe bir.NET derlemesi olarak yüklenir ([System.Reflection.Assembly]::Load), geleneksel dosya tabanlı algılama yöntemlerini atlayarak, kodun bir görüntü içindeki gizli bir kötü amaçlı yükü (gizli) indirmeyi ve yürütmeyi amaçladığını öne sürüyor.
Analiz, URL’lerin çıkarıldığı https://uploaddeimagens adlı betiğin kötü niyetli yapısını ortaya çıkardı[.]com.br/images/004/766/978/full/new_image_vbs.jpg?1712588469 ve https://uploaddeimagens[.]com.br/images/004/766/979/original/new_image_vbs.jpg?1712588500, daha ileri araştırmalar için Uzlaşma Göstergeleri (IOC’ler) olarak kullanılabilir.
Analyze PowerShell Scripts in Malware in ANY.RUN - Register for Free
HERHANGİ BİR ÇALIŞMA nedir?
HERHANGİ BİR ÇALIŞMA dünya çapında 400.000’den fazla siber güvenlik uzmanının ünlü bir müttefikidir. Bu etkileşimli korumalı alan platformu, hem Windows hem de Linux sistemlerini hedefleyen tehditler için kötü amaçlı yazılım analiz sürecini kolaylaştırarak analistleri araştırma çalışmaları için gelişmiş bir araçla donatıyor.
Ayrıca, ANY.RUN’un tehdit istihbaratı teklifleri, yani Arama ve Akışlar, kullanıcıların tehditleri tespit etmesine ve olay yanıtlarını hızlı bir şekilde yönetmesine olanak tanıyan hassas risk göstergeleri ve bağlamsal içgörüler sunar.
ANY.RUN, tehdit analizinin hızını ve doğruluğunu artırır. Platform, YARA ve Suricata kurallarını kullanarak yaygın kötü amaçlı yazılım ailelerini belirleme konusunda uzmandır ve belirli aile tespitinin mümkün olmadığı durumlarda kötü amaçlı yazılım davranışlarını imzalar aracılığıyla tespit edebilir.
ANY.RUN’un Temel Özellikleri:
- Hızlı Kötü Amaçlı Yazılım Tespiti: ANY.RUN, bir dosya yüklemesinden sonra yaklaşık 40 saniye içinde kötü amaçlı yazılımları tespit edebilir. Tanınmış kötü amaçlı yazılım ailelerini tanımak için YARA ve Suricata kurallarını kullanır ve yeni tehditlerdeki kötü amaçlı etkinlikleri belirlemek için davranışsal imzalardan yararlanır.
- Örneklerle Gerçek Zamanlı Etkileşim: VNC tarafından desteklenen ANY.RUN’un etkileşimli bulut sanal alanı, kullanıcıların web sayfalarına göz atma, yükleyiciler arasında gezinme ve parola korumalı arşivlere erişme gibi gerçek sistem etkinliklerini gerçekleştirmesine olanak tanır.
- Uygun Maliyetli ve Bakım Gerektirmez: Bulut tabanlı bir çözüm olan ANY.RUN, ilk kurulum veya devam eden bakım ihtiyacını ortadan kaldırarak işletmeler için zamandan ve kaynaktan tasarruf sağlar.
- Kapsamlı Kötü Amaçlı Yazılım Davranış Analizi: ANY.RUN, kötü amaçlı yazılım davranışının derinlemesine incelenmesini, ağ trafiğinin izlenmesini, sistem çağrılarını ve dosya sistemi değişikliklerini sunar.
- Gelişmiş Ekip İşbirliği: Platform, analiz sonuçlarının ekip üyeleri arasında kolayca paylaşılmasını kolaylaştırır. Kıdemli analistler, analiz oturumlarının kayıtlarına erişerek asistan meslektaşlarının çalışmalarını da inceleyebilirler.
- Ölçeklenebilirlik: ANY.RUN’un bulut hizmeti modeli, yalnızca daha fazla lisans ekleyerek güvenlik operasyonlarının kolayca ölçeklendirilmesine olanak tanır.
ANY.RUN’un güvenlik ekibinize nasıl fayda sağlayabileceğine daha yakından bakmak için, ANY.RUN ile iletişime geçin platformun kişiselleştirilmiş rehberli turu için.