PowerShell混淆:经过DDoS高防混淆隐身,第二部分-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 行业资讯 > PowerShell混淆:经过DDoS高防混淆隐身,第二部分

PowerShell混淆:经过DDoS高防混淆隐身,第二部分

小墨安全管家 2020-11-23 00:00 行业资讯 89 ℃
DDoS防御

本文是"PowerShell混淆"系列文章的一部分。看看剩下的:PowerShell混淆:混淆中的隐形,第二部分IPowerShell混淆:混淆中的隐身,第二部分让我们从上一篇文章的混杂PowerShell命令练习中退一步。混淆代码作为一种幸免被恶意软件和病毒扫描器检测(或防止逆向工程)的技术并不是啥新奇事。假如我们回到历史记录中,会有那个(用Perl编写的),那有啥大不了的呢?关键的变化是黑客能够经过在几乎所有攻击时期使用花园式PowerShell来清除恶意软件。经过含糊处理,那个PowerShell软件实际上有一具隐形斗篷。我们都懂隐形设备能够给一方带来特别大的优势!.cta块{顶部边缘:45像素;底边:45px;衬垫顶部:45px;垫底:45px;左填充:48px;右填充:48px;背景色:F7F8FC;颜色:#fff;文本对齐:居中;}.cta块h3{文本对齐:居中;颜色:212234}.hubspot表单容器{填料:20px;右边距:自动;左边距:自动;}.cta证明{字号:20px;字体:歪体;颜色:b}猎取免费的PowerShell和Active Directory Essentials视频课程window['Bizible']=window['Bizible']| |{_队列:[],Push:function(o,p){this_队列.推送({type:o,防DDoS,data:p});};hbspt.forms.create({portalId:"142972",格式:"9d6e736c-b854-47e4-b734-564d968b43c0",sfdcCampaignId:"70158000000台",onFormSubmit:函数($form){怪怪的。推("用户"{电子邮件:$窗体.寻找('[name=email]').val()});}});我推举给新的和高级的PowerShell用户。建立一具广告工具是一具特别好的学习经验。IT安全组织必须应对这种新的威胁。Windows PowerShell日志记录很好!事实证明,我上次回忆PowerShell的日志记录功能有些太快了,这些功能是在组策略治理中启用的。我展示了一具从远程网站下载并执行PowerShell cmdlet的示例:我的印象是PowerShell日志不大概显示从网站下载的字符串中嵌入的恶意软件。我错了。假如经过GPM打开PowerShell模块日志记录,这么远程PowerShell代码真的会出如今日志中。为了刷新经历,我使用了PowerShell版本4和(我相信)最新的Windows治理框架(WMF),它应该支持更细粒度的日志记录。更好的PowerShell日志能够在GPM中启用!这不过一具小咨询题,但这意味着攻击者也会混淆初始有效载荷。我还错误地以为Invoke-Obfuscation提供的含糊处理不大概在日志中显示为非含糊处理。例如,在上一篇文章中,我尝试了一种字符串含糊处理想法来生成:本质上,它不过在运行时组合在一起形成cmdlet的独立字符串的串联。在这篇文章中,我对Invoke-Obfuscation的加扰选项举行了更多的采样,以查看命令行在事件日志中的显示方式。我尝试了它的字符串重新排序选项(如下所示),它利用了PowerShell中一些巧妙的技巧。注意第一部分$环境:comspec[4,15,25]$环境:comspec[4,15,25]?它需要环境变量$环境:comspec$环境:comspec和提取第4、15和25个字符以生成"IEX",即Invoke ExpressionInvoke表达式的PowerShell别名。joinjoinoperator答应数组并将其转换为字符串。此PowerShell表达式的下一部分使用格式运算符ff。假如您作为程序员使用过类似sprintf的命令,您将即将认识到这些功能。然而,使用PowerShell,DDoS防御,您能够在参数列表中指定元素位置,该元素被拉入以创建结果字符串。于是{20},{5},{9},{2}{20},{5},{9},{2}开始组装另一具Invoke-Expression-Invoke-Expression cmdlet。是的,这特别快就变得复杂了!我还让Invoke Obfuscation从它的含糊处理菜单中挑选一具点菜菜单,结果浮上了以下混乱:在尝试了所有这些之后,我检查了事件查看器,看看如今启用了更强大的日志记录功能后,Windows能够看穿雾,并捕获底层的PowerShell:严峻混淆,但启用了PowerShell模块日志记录后,日志中能够使用底层cmdlet。这是否意味着PowerShell混淆总是在窗口事件日志中得到反含糊处理,从而允许恶意软件检测器使用传统模式匹配?答案是不!调用混淆还允许您将PowerShell足本编码为原始ASCII、Hex,DDoS防御,甚至二进制。这种编码混淆也许妨碍了事件日志记录:此cmdlet未检测到底层Hex。量化混乱在这一点上,攻击者也许有一具优势:一具隐形装置,让谨防者看不见他们的足本,或者至少让他们变得很含糊。我在第一篇文章中提到的Black Hat上的演说也介绍了微软的Lee Holmes(没错,算是这个家伙)和Daniel Bohannon以及其他研究人员在使用概率模型和机器学习技术检测含糊恶意软件方面所做的工作。假如你感兴趣的话,你能够看看他们在会议上提交的论文。Holmes和他的团队借鉴了自然语言处理技术,分析了混淆的PowerShell足本与良性变体的字符频率。有区别!在主趋势下方的运球表明,混淆的PowerShell的字符频率与标准足本不同。不管怎么,Holmes和他的团队转向了一种更复杂的逻辑回归模型——差不多上将PowerShell代码分为邪恶的含糊足本或一般足本。接着,他经过深入研究PowerShell的命令解析(收集嵌套级别的统计信息等)来训练自个儿的logit,从而得出一具值得恭敬的分类器,准确率约为96%。不是完美的,而是一具好的开始!再想几句尽管我对微软改进PowerShell日志记录游戏提出了一些建议,DDoS防御,但仍然有脚够的漏洞让攻击者在不被发觉的事情下运行足本。这假设IT组懂首先启用PowerShell模块日志记录!机器学习模型表明,有大概在野外发觉这些隐秘足本。可是,这意味着我们又回到了扫描恶意软件的行业,而且我们懂这种想法最后来依旧有缺陷的。你无法跟上攻击者的步伐,他们总是改变和调整代码来欺骗探测器。这条路通向哪里?固然,您能够依照需要打开PowerShell日志记录,并尝试使您的扫描软件保持最新,但最后来您需要有一具可靠的辅助谨防,即基于寻找涉及敏感数据文件访咨询的攻击后活动。抓住PowerShell日志扫描仪漏掉的东西!今天就要求演示。


DDoS防御

当前位置:主页 > 行业资讯 > PowerShell混淆:经过DDoS高防混淆隐身,第二部分

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119