Hacknite Wiki

User Tools

Site Tools

Trace: kerberos aes kupon pfs hmac race_condition hash tea length-extension-attack prng
malware_tehnike

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
malware_tehnike [2025/06/05 14:11] ppalemalware_tehnike [2025/12/01 11:40] (current) – external edit 127.0.0.1
Line 24: Line 24:
 Pošto je ADS funkcionalnost koja postoji samo u NTFS datotečnom sustavu, kada bi se datoteka s više ADS-ova preuzela na Linux operacijski sustav, koji koristi npr. ext4 datotečni sustav, ADS-ovi te datoteke više ne bi postojali. Radi ove činjenice, kontejnerske ekstenzije, kao „.iso“, „.img“, „.vhd“, „.vhdx“ i druge ne mogu sadržavati ADS-ove za datoteke koje sadrže, a time im se ne može ni dodati Mark of the Web. Zloćudne datoteke koriste ove ekstenzije kao jednu od tehnika zaobilaska Mark of the Weba. Osim ove postoje i druge tehnike, na primjer metoda opisana u CVE-2020-1599 je prije omogućavala da se postojeću potpisanu PE (Portable Executable) datoteku doda zlonamjerni kod, a da potpis i dalje ostane važeći. Također 7-Zip do 2022. godine nije podržavao zapisivanje MotW-a na raspakirane datoteke, nakon čega je ta funkcionalnost dodana kao opcionalna, tako da se zlonamjerni program mogao prenijeti u komprimiranom 7-Zip formatu (.7z), pa datoteka (u kojoj je zlonamjerni program) nakon ekstrakcije ne bi sadržavao Mark of the Web. Ovo je i dalje „default“ ponašanje, ali se može odabrati opcija da se prenese MoTW. Pošto je ADS funkcionalnost koja postoji samo u NTFS datotečnom sustavu, kada bi se datoteka s više ADS-ova preuzela na Linux operacijski sustav, koji koristi npr. ext4 datotečni sustav, ADS-ovi te datoteke više ne bi postojali. Radi ove činjenice, kontejnerske ekstenzije, kao „.iso“, „.img“, „.vhd“, „.vhdx“ i druge ne mogu sadržavati ADS-ove za datoteke koje sadrže, a time im se ne može ni dodati Mark of the Web. Zloćudne datoteke koriste ove ekstenzije kao jednu od tehnika zaobilaska Mark of the Weba. Osim ove postoje i druge tehnike, na primjer metoda opisana u CVE-2020-1599 je prije omogućavala da se postojeću potpisanu PE (Portable Executable) datoteku doda zlonamjerni kod, a da potpis i dalje ostane važeći. Također 7-Zip do 2022. godine nije podržavao zapisivanje MotW-a na raspakirane datoteke, nakon čega je ta funkcionalnost dodana kao opcionalna, tako da se zlonamjerni program mogao prenijeti u komprimiranom 7-Zip formatu (.7z), pa datoteka (u kojoj je zlonamjerni program) nakon ekstrakcije ne bi sadržavao Mark of the Web. Ovo je i dalje „default“ ponašanje, ali se može odabrati opcija da se prenese MoTW.
 Zaobilaskom MOTW-a zlonamjerni akteri postižu da njihov zloćudni program ne bude označen kao opasan i time žrtvin operacijski sustav Windows vrši manje provjera zloćudnog programa i smanjuje se mogućnost da će biti detektiran. Također, pri pokušaju žrtve da pokrene zloćudni program, ne pojavljuje se skočni prozor koji traži dodatnu potvrdu žrtve da program bude pokrenut uz naznačivanje da je program potencijalno opasan. Zaobilaskom MOTW-a zlonamjerni akteri postižu da njihov zloćudni program ne bude označen kao opasan i time žrtvin operacijski sustav Windows vrši manje provjera zloćudnog programa i smanjuje se mogućnost da će biti detektiran. Također, pri pokušaju žrtve da pokrene zloćudni program, ne pojavljuje se skočni prozor koji traži dodatnu potvrdu žrtve da program bude pokrenut uz naznačivanje da je program potencijalno opasan.
 +
 ===Korištenje windows PowerShella za izvršavanje malware payloada=== ===Korištenje windows PowerShella za izvršavanje malware payloada===
-Glavni razlozi zašto zlonamjerni programi koriste PowerShell su kako bi otežali detekciju zaštitih programa. Neki od tehnika kako se koristi PowerShell za ovu namjenu su odvajanje i enkripcija ili obfuskacija „najsumnjivijeg“ dijela zlonamjernog programa – odnosno payloada, kako bi preostali dio zlonamjernog programa koji neće biti enkriptiran i kojeg će zaštitni programi skenirati izgledao „legitimno“ i ne sadržavao operacije koje bi zaštitni programi detektirali kao zlonamjerne. Također, ovako se dio operacija koje zlonamjerni program izvršava može učitati ravno u memoriju korištenjem PowerShella, bez prethodnog zapisivanja na disk u binarnom formatu, što također otežava detekciju zaštitnim programima. Učitani payload malware koji se pokreće s pomoću PowerShella onda može koristiti postojeće već dostupne funkcionalnosti i pozive PowerShella, kako bi bio još manji i teži za detekciju.+Glavni razlozi zašto zlonamjerni programi koriste PowerShell su kako bi otežali detekciju zaštitih programa. Neki od tehnika kako se koristi PowerShell za ovu namjenu su odvajanje i enkripcija ili obfuskacija „najsumnjivijeg“ dijela zlonamjernog programa – odnosno payloada, kako bi preostali dio zlonamjernog programa koji neće biti kriptiran i kojeg će zaštitni programi skenirati izgledao „legitimno“ i ne sadržavao operacije koje bi zaštitni programi detektirali kao zlonamjerne. Također, ovako se dio operacija koje zlonamjerni program izvršava može učitati izravno u memoriju korištenjem PowerShella, bez prethodnog zapisivanja na disk u binarnom formatu, što također otežava detekciju zaštitnim programima. Učitani payload malware koji se pokreće s pomoću PowerShella onda može koristiti postojeće već dostupne funkcionalnosti i pozive PowerShella, kako bi bio još manji i teži za detekciju.
  
  
Line 43: Line 44:
  
 Uz zadatak su dostupne i dvije datoteke  flag_corrupted.txt i  SECRET.iso. Uz zadatak su dostupne i dvije datoteke  flag_corrupted.txt i  SECRET.iso.
-Prije preuzimanja zlonamjernih datoteka koje će se analizirati, bitno je postaviti ih u sigurno i izolirano okruženje, kao što je adekvatno podešena virtualna mašina. Za ovaj zadatak, preporučena je Windows virtualna mašina, ali je moguće zadatak riješit i koristeći Linux mašinu.+Prije preuzimanja zlonamjernih datoteka koje će se analizirati, bitno je postaviti ih u sigurno i izolirano okruženje, kao što je odgovarajuće podešeno virtualno računalo. Za ovaj zadatak, preporuča se koristiti Windows virtualno računalo, ali je moguće zadatak riješiti i koristeći Linux mašinu.
  
 Nakon preuzimanja datoteka, može se uočiti da je ekstenzija datoteke SECRET .iso, što označava da je datoteka slika diska. Kako bi se mogao vidjeti sadržaj slike diska, sliku je prvo potrebno „mountati“, što se može napraviti desnim klikom na datoteku i odabirom opcije mount. Nakon preuzimanja datoteka, može se uočiti da je ekstenzija datoteke SECRET .iso, što označava da je datoteka slika diska. Kako bi se mogao vidjeti sadržaj slike diska, sliku je prvo potrebno „mountati“, što se može napraviti desnim klikom na datoteku i odabirom opcije mount.
  
-Nakon što je slika diska „mount-ana“, može se vidjeti sadržaj, koji je jedna LNK ili Shortcut datoteka naziva „tajno“. Desnim klikom na link i odabirom opcije properties, može se vidjeti da je atribut target neuobičajen, jer pokreće cmd.exe s određenim argumentima. Ovo je prikazano na slici 1.+Nakon što je slika diska „mountana“, može se vidjeti sadržaj, koji je jedna LNK ili Shortcut datoteka naziva „tajno“. Desnim klikom na link i odabirom opcije properties, može se vidjeti da je atribut target neuobičajen, jer pokreće cmd.exe s određenim argumentima. Ovo je prikazano na slici 1.
  
  
 {{malwaretehnike:slika1.png}} {{malwaretehnike:slika1.png}}
  
-Također se može uočiti da nakon argumenta explorer.exe, ima više praznih razmaka, nakon kojih opet slijedi ostatak naredbi, gdje se vidi PowerShell skripta sa base64 enkodiranim payloadom. +Također se može uočiti da nakon argumenta explorer.exe, ima više praznina, razmaka, nakon kojih opet slijedi ostatak naredbi, gdje se vidi PowerShell skripta payloadom enkodiranim s base64
  
 Vidljiv dio target argumenta je: Vidljiv dio target argumenta je:
Line 67: Line 68:
 {{malwaretehnike:slika2.png}} {{malwaretehnike:slika2.png}}
  
-Kako bi se base64 enkodirani dio naredbe dekodirao, ima više načina, od kojih je jedan napisati jednostavnu PowerShell skriptu. Powershell skripta prvo dekodira base64 u byte array, koji onda dekodira u UTF-16LE (enkodiranje koje PowerShell koristi) plaintext. Ova skripta se može napisati ovako:+Ima više načina da se dekodira dio naredbe enkodiran s base64. Jedan je napisati jednostavnu PowerShell skriptu. Powershell skripta prvo dekodira base64 u byte array, koji onda dekodira u UTF-16LE (enkodiranje koje PowerShell koristi) plaintext. Ova skripta se može napisati ovako:
 <code> <code>
 $base64String = "SQBuAHYAbwBrAGUALQBXAGUAYgBSAG0..…“ $base64String = "SQBuAHYAbwBrAGUALQBXAGUAYgBSAG0..…“
Line 78: Line 79:
 {{malwaretehnike:slika3.png}} {{malwaretehnike:slika3.png}}
  
-Sada se koristeći taj link može preuzeti .exe file.+Sada sekoristeći taj linkmože preuzeti .exe file.
 <code> <code>
 https://platforma.hacknite.hr/files/35ac...ba58/EncryptFlag.exe https://platforma.hacknite.hr/files/35ac...ba58/EncryptFlag.exe
Line 99: Line 100:
 </code> </code>
  
-Vidi se različite informacije o programu no ništa konkretno.+Vide se različite informacije o programuno ništa konkretno.
 Sljedeći korak može biti reverzno inženjerstvo programa koristeći neki od alata kao što su ghdira ili radare2. Također prije ovog koraka, program se može uploadati na VirusTotal, kako bi se izvršila dinamička analiza automatski i vidjeli se neki podatci o izvršavanju programa. Sljedeći korak može biti reverzno inženjerstvo programa koristeći neki od alata kao što su ghdira ili radare2. Također prije ovog koraka, program se može uploadati na VirusTotal, kako bi se izvršila dinamička analiza automatski i vidjeli se neki podatci o izvršavanju programa.
 Uploadom programa EncryptFlag.exe na VirusTotal, te odabirom karte „Behavior“ na slici 4. mogu se pronaći neke informacije o ponašanju programa za vrijeme izvršavanja. Uploadom programa EncryptFlag.exe na VirusTotal, te odabirom karte „Behavior“ na slici 4. mogu se pronaći neke informacije o ponašanju programa za vrijeme izvršavanja.
malware_tehnike.1749132674.txt.gz · Last modified: 2025/12/01 11:40 (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki