SlideShare une entreprise Scribd logo

"Sandbox dla PowerShell'a - zrób to sam!" - Dawid Pachowski

PROIDEA
PROIDEA

W świecie malware'ów i dropper'ów umiejętność deobfuskacji skryptów PowerShell'a jest istotnym elementem analizy, pozwalającym na dokładne zgłębienie działania często skomplikowanych skryptów. Zaprezentuję dotychczas znane metody deobfuskacji tych skryptów oraz zaproponuję nową, która prowadzi nawet do zbudowania własnego, automatycznego sandbox'a.

Technologie
1  sur  44
Télécharger pour lire hors ligne
Sandbox dla PowerShella Zrób to sam! Dawid Pachowski
O mnie  Już w podstawówce bronił koleżanek przed atakami APT  Z wykształcenia programista z kilkuletnim doświadczeniem  Aktualnie bezpiecznik w jednej z polskich instytucji finansowych, na co dzień zwinnie walczący ze słabościami ludzkimi i aplikacyjnymi  W wolnych chwilach wykładowca na uczelni wyższej 2 Sandbox dla PowerShella - Zrób to sam! Confidence 2019
Agenda 1. Dlaczego deobfuskujemy PowerShell’a? 2. Metoda 1 – Windows Event Log 3. Metoda 2 – Set-PSDebug 4. Nowości od Microsoft’u 5. Metoda 3 6. Podsumowanie 3 Sandbox dla PowerShella - Zrób to sam! Confidence 2019
Cel deobfuskacji PowerShell’a  Codziennie wiele korporacji jest atakowane malspam’em  W załącznikach znajdują się różnego typu dropper’y  JavaScript  Jscript  VisualBasic (VBA,VBS)  PowerShell  Skrypty języka PowerShell są często generowane i uruchamiane przez droppery  Bywają one zaciemnione, żeby utrudnić ich analizę 4 Sandbox dla PowerShella - Zrób to sam! Confidence 2019
Metoda 1 – Windows Event Log  Trzeba włączyć w zasadach grup (GPO)  W podglądzie zdarzeń (EventViewer) pojawiają się bloki skryptów PowerShell, które są uruchamiane https://docs.microsoft.com/en-us/powershell/wmf/5.0/audit_script 5 Sandbox dla PowerShella - Zrób to sam! Confidence 2019
Metoda 1 – Windows Event Log 6 Sandbox dla PowerShella - Zrób to sam! Confidence 2019
Metoda 2 – Set-PSDebug Confidence 2019Sandbox dla PowerShella - Zrób to sam!7 Set-PSDebug -Trace 2  Włącza tryb debugowania  Powoduje wyświetlenie pośrednich etapów uruchamianych skryptów  Wyświetla przypisywanie wartości do zmiennych  Wyświetla uruchamiane fukncje
Metoda 2 – Set-PSDebug Confidence 2019Sandbox dla PowerShella - Zrób to sam!8
Demo Metoda 1 i Metoda 2 Confidence 2019Sandbox dla PowerShella - Zrób to sam!9
Demo - dropper Confidence 2019Sandbox dla PowerShella - Zrób to sam!10
Demo – metoda 1 Confidence 2019Sandbox dla PowerShella - Zrób to sam!11
Demo – metoda 2 Confidence 2019Sandbox dla PowerShella - Zrób to sam!12
Demo – modyfikacja droppera Confidence 2019Sandbox dla PowerShella - Zrób to sam!13
Demo – obfuskacja droppera Confidence 2019Sandbox dla PowerShella - Zrób to sam!14
Metoda 1 i 2 – wady i zalety Confidence 2019Sandbox dla PowerShella - Zrób to sam!15 + Szybka konfiguracja + Łatwe w użyciu - Skrypt może wyczyścić logi lub wyłączyć debugowanie - Gotowe i zamknięte rozwiązanie
Metoda 1 i 2 – wady i zalety Confidence 2019Sandbox dla PowerShella - Zrób to sam!16 + Szybka konfiguracja + Łatwe w użyciu - Skrypt może wyczyścić logi lub wyłączyć debugowanie - Gotowe i zamknięte rozwiązanie Czy na pewno?
Nowości od Microsoft’u Niemożliwe… 17 Confidence 2019Sandbox dla PowerShella - Zrób to sam!
Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!18  Chcę przeprowadzić analizę skryptu PowerShell’a  Środowisko do analizy przygotowane już na LUbuntu  Malware w większości na Windows’a  Skąd wziąć PowerShell’a na LUbuntu?  A może Docker?
Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!19
Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!20
Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!21
Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!22 https://github.com/PowerShell/PowerShell
Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!23 https://github.com/PowerShell/PowerShell
Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!24
Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!25 https://github.com/PowerShell/PowerShell
Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!26
Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!27
Nowości od Microsoft’u – nie wierzę Confidence 2019Sandbox dla PowerShella - Zrób to sam!28 Czas trwania: ok. 2h
Nowości od Microsoft’u – nie wierzę Confidence 2019Sandbox dla PowerShella - Zrób to sam!29 Czas trwania: ok. 10min Prawie 1300 plików *.cs, które mają ponad 130 000 linii kodu
Nowości od Microsoft’u – nie wierzę Confidence 2019Sandbox dla PowerShella - Zrób to sam!30 Czas trwania: ok. 5min
Nowości od Microsoft’u – nie wierzę Confidence 2019Sandbox dla PowerShella - Zrób to sam!31
Nowości od Microsoft’u – nie wierzę Confidence 2019Sandbox dla PowerShella - Zrób to sam!32 Czas trwania: ok. 10min, W sumie: <2,5h
Demo Zbudowany interpreter PowerShell’a - możliwości Confidence 2019Sandbox dla PowerShella - Zrób to sam!33
Demo – uruchomienie interpretatora PS Confidence 2019Sandbox dla PowerShella - Zrób to sam!34
Demo – modyfikacja interpretatora PS Confidence 2019Sandbox dla PowerShella - Zrób to sam!35
Demo – modyfikacja interpretatora PS Confidence 2019Sandbox dla PowerShella - Zrób to sam!36
Demo – a może Visual Studio? Confidence 2019Sandbox dla PowerShella - Zrób to sam!37
Demo – a może Visual Studio? Confidence 2019Sandbox dla PowerShella - Zrób to sam!38
Demo – zróbmy własny sandbox! Confidence 2019Sandbox dla PowerShella - Zrób to sam!39
Interpreter PowerShell’a – Metoda 3 Confidence 2019Sandbox dla PowerShella - Zrób to sam!40 + Nie do zablokowania + Nieograniczone możliwości + Można zbudować box-js dla PowerShell’a - Przygotowanie wymaga umiejętności programisty C#
Podsumowanie Sandbox dla PowerShella - Zrób to sam! a nowości od Microsoftu Confidence 2019Sandbox dla PowerShella - Zrób to sam!41
Podsumowanie Confidence 2019Sandbox dla PowerShella - Zrób to sam!42  Każda z metod ma swoje plusy i minusy  Ile zmieniło opublikowanie kodu źródłowego interpretera języka PowerShell?
Podsumowanie Confidence 2019Sandbox dla PowerShella - Zrób to sam!43  Każda z metod ma swoje plusy i minusy  Ile zmieniło opublikowanie kodu źródłowego interpretera języka PowerShell?  Jest to kolejny argument za oprogramowaniem z otwartym kodem źródłowym (Open Source)
Dziękuję Dawid Pachowski, dpachowski@protonmail.com Confidence 2019Sandbox dla PowerShella - Zrób to sam!44

Recommandé

CONFidence 2018: "Small money, a lot of bugs" - Large scale bughunting dla ty...
CONFidence 2018: "Small money, a lot of bugs" - Large scale bughunting dla ty...CONFidence 2018: "Small money, a lot of bugs" - Large scale bughunting dla ty...
CONFidence 2018: "Small money, a lot of bugs" - Large scale bughunting dla ty...PROIDEA
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
 
Iron Python I Dlr
Iron Python I DlrIron Python I Dlr
Iron Python I DlrMichal Zylinski
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiLogicaltrust pl
 
Debugowanie skryptow php za pomoca xdebug
Debugowanie skryptow php za pomoca xdebugDebugowanie skryptow php za pomoca xdebug
Debugowanie skryptow php za pomoca xdebugXSolve
 
Metaprogramowanie w JS
Metaprogramowanie w JSMetaprogramowanie w JS
Metaprogramowanie w JSDawid Rusnak
 
Shall we play a game? PL version
Shall we play a game? PL versionShall we play a game? PL version
Shall we play a game? PL versionMaciej Lasyk
 

Recommandé

CONFidence 2018: "Small money, a lot of bugs" - Large scale bughunting dla ty...
CONFidence 2018: "Small money, a lot of bugs" - Large scale bughunting dla ty...CONFidence 2018: "Small money, a lot of bugs" - Large scale bughunting dla ty...
CONFidence 2018: "Small money, a lot of bugs" - Large scale bughunting dla ty...PROIDEA
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
 
Iron Python I Dlr
Iron Python I DlrIron Python I Dlr
Iron Python I DlrMichal Zylinski
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiLogicaltrust pl
 
Debugowanie skryptow php za pomoca xdebug
Debugowanie skryptow php za pomoca xdebugDebugowanie skryptow php za pomoca xdebug
Debugowanie skryptow php za pomoca xdebugXSolve
 
Metaprogramowanie w JS
Metaprogramowanie w JSMetaprogramowanie w JS
Metaprogramowanie w JSDawid Rusnak
 
Shall we play a game? PL version
Shall we play a game? PL versionShall we play a game? PL version
Shall we play a game? PL versionMaciej Lasyk
 
Xdebug – debugowanie i profilowanie aplikacji PHP
Xdebug – debugowanie i profilowanie aplikacji PHPXdebug – debugowanie i profilowanie aplikacji PHP
Xdebug – debugowanie i profilowanie aplikacji PHP3camp
 
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaModsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaLeszek Mi?
 
Apache http server - proste i zaawansowane przypadki użycia
Apache http server - proste i zaawansowane przypadki użyciaApache http server - proste i zaawansowane przypadki użycia
Apache http server - proste i zaawansowane przypadki użyciaWojciech Lichota
 
ETW w służbie programisty .NET
ETW w służbie programisty .NETETW w służbie programisty .NET
ETW w służbie programisty .NETKonrad Kokosa
 
Secure Coding w praktyce.
Secure Coding w praktyce.Secure Coding w praktyce.
Secure Coding w praktyce.Semihalf
 
Zhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP TrojmiastoZhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP Trojmiastosecman_pl
 
HTML5: Atak i obrona
HTML5: Atak i obronaHTML5: Atak i obrona
HTML5: Atak i obronaKrzysztof Kotowicz
 
CodiLime Tech Talk - Michał Cłapiński, Mateusz Jabłoński: Debugging faultily ...
CodiLime Tech Talk - Michał Cłapiński, Mateusz Jabłoński: Debugging faultily ...CodiLime Tech Talk - Michał Cłapiński, Mateusz Jabłoński: Debugging faultily ...
CodiLime Tech Talk - Michał Cłapiński, Mateusz Jabłoński: Debugging faultily ...CodiLime
 
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...PROIDEA
 
GlusterFS
GlusterFSGlusterFS
GlusterFSŁukasz Jagiełło
 
Open Source - czy aby napewno zło?” - Piotr Pyciński, KrakSpot#5
Open Source - czy aby napewno zło?” - Piotr Pyciński, KrakSpot#5Open Source - czy aby napewno zło?” - Piotr Pyciński, KrakSpot#5
Open Source - czy aby napewno zło?” - Piotr Pyciński, KrakSpot#5krakspot
 
Praktyczne code reviews - PHPConPl
Praktyczne code reviews - PHPConPlPraktyczne code reviews - PHPConPl
Praktyczne code reviews - PHPConPlSebastian Marek
 
TIA Portal w 7 min. Podłączenie PLC i PLCsim do wirtualnego HMI
TIA Portal w 7 min. Podłączenie PLC i PLCsim do wirtualnego HMITIA Portal w 7 min. Podłączenie PLC i PLCsim do wirtualnego HMI
TIA Portal w 7 min. Podłączenie PLC i PLCsim do wirtualnego HMIFundacja CALM edu Grzegorz Czekała
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychSecuRing
 
Webinar symfony
Webinar symfonyWebinar symfony
Webinar symfonyMichał Makaruk
 
Pierwszy program w c# cezary walencik
Pierwszy program w c# cezary walencikPierwszy program w c# cezary walencik
Pierwszy program w c# cezary walencikCezary Walenciuk
 
PHP. Programowanie w systemie Windows. Vademecum profesjonalisty
PHP. Programowanie w systemie Windows. Vademecum profesjonalistyPHP. Programowanie w systemie Windows. Vademecum profesjonalisty
PHP. Programowanie w systemie Windows. Vademecum profesjonalistyWydawnictwo Helion
 
Visual basic-2005-express-i-mysql
Visual basic-2005-express-i-mysqlVisual basic-2005-express-i-mysql
Visual basic-2005-express-i-mysqlPrzemysław Wolny
 
Jak zacząć, aby nie żałować - czyli 50 twarzy PHP
Jak zacząć, aby nie żałować - czyli 50 twarzy PHPJak zacząć, aby nie żałować - czyli 50 twarzy PHP
Jak zacząć, aby nie żałować - czyli 50 twarzy PHPPiotr Horzycki
 
Produkcja aplikacji internetowych
Produkcja aplikacji internetowychProdukcja aplikacji internetowych
Produkcja aplikacji internetowychTomasz Borowski
 
Od Figmy do gotowej aplikacji bez linijki kodu
Od Figmy do gotowej aplikacji bez linijki koduOd Figmy do gotowej aplikacji bez linijki kodu
Od Figmy do gotowej aplikacji bez linijki koduThe Software House
 
C++ Builder 6. Vademecum profesjonalisty
C++ Builder 6. Vademecum profesjonalistyC++ Builder 6. Vademecum profesjonalisty
C++ Builder 6. Vademecum profesjonalistyWydawnictwo Helion
 

Contenu connexe

Tendances

Xdebug – debugowanie i profilowanie aplikacji PHP
Xdebug – debugowanie i profilowanie aplikacji PHPXdebug – debugowanie i profilowanie aplikacji PHP
Xdebug – debugowanie i profilowanie aplikacji PHP3camp
 
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaModsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaLeszek Mi?
 
Apache http server - proste i zaawansowane przypadki użycia
Apache http server - proste i zaawansowane przypadki użyciaApache http server - proste i zaawansowane przypadki użycia
Apache http server - proste i zaawansowane przypadki użyciaWojciech Lichota
 
ETW w służbie programisty .NET
ETW w służbie programisty .NETETW w służbie programisty .NET
ETW w służbie programisty .NETKonrad Kokosa
 
Secure Coding w praktyce.
Secure Coding w praktyce.Secure Coding w praktyce.
Secure Coding w praktyce.Semihalf
 
Zhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP TrojmiastoZhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP Trojmiastosecman_pl
 
CodiLime Tech Talk - Michał Cłapiński, Mateusz Jabłoński: Debugging faultily ...
CodiLime Tech Talk - Michał Cłapiński, Mateusz Jabłoński: Debugging faultily ...CodiLime Tech Talk - Michał Cłapiński, Mateusz Jabłoński: Debugging faultily ...
CodiLime Tech Talk - Michał Cłapiński, Mateusz Jabłoński: Debugging faultily ...CodiLime
 
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...PROIDEA
 

Tendances (10)

Xdebug – debugowanie i profilowanie aplikacji PHP
Xdebug – debugowanie i profilowanie aplikacji PHPXdebug – debugowanie i profilowanie aplikacji PHP
Xdebug – debugowanie i profilowanie aplikacji PHP
 
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaModsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
 
Apache http server - proste i zaawansowane przypadki użycia
Apache http server - proste i zaawansowane przypadki użyciaApache http server - proste i zaawansowane przypadki użycia
Apache http server - proste i zaawansowane przypadki użycia
 
ETW w służbie programisty .NET
ETW w służbie programisty .NETETW w służbie programisty .NET
ETW w służbie programisty .NET
 
Secure Coding w praktyce.
Secure Coding w praktyce.Secure Coding w praktyce.
Secure Coding w praktyce.
 
Zhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP TrojmiastoZhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP Trojmiasto
 
HTML5: Atak i obrona
HTML5: Atak i obronaHTML5: Atak i obrona
HTML5: Atak i obrona
 
CodiLime Tech Talk - Michał Cłapiński, Mateusz Jabłoński: Debugging faultily ...
CodiLime Tech Talk - Michał Cłapiński, Mateusz Jabłoński: Debugging faultily ...CodiLime Tech Talk - Michał Cłapiński, Mateusz Jabłoński: Debugging faultily ...
CodiLime Tech Talk - Michał Cłapiński, Mateusz Jabłoński: Debugging faultily ...
 
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...
PLNOG22: Tomasz Jarlaczyk & Tomasz Ludwiczak - DNSv6 i SSL - historie z życia...
 
GlusterFS
GlusterFSGlusterFS
GlusterFS
 

Similaire à "Sandbox dla PowerShell'a - zrób to sam!" - Dawid Pachowski

Open Source - czy aby napewno zło?” - Piotr Pyciński, KrakSpot#5
Open Source - czy aby napewno zło?” - Piotr Pyciński, KrakSpot#5Open Source - czy aby napewno zło?” - Piotr Pyciński, KrakSpot#5
Open Source - czy aby napewno zło?” - Piotr Pyciński, KrakSpot#5krakspot
 
Praktyczne code reviews - PHPConPl
Praktyczne code reviews - PHPConPlPraktyczne code reviews - PHPConPl
Praktyczne code reviews - PHPConPlSebastian Marek
 
TIA Portal w 7 min. Podłączenie PLC i PLCsim do wirtualnego HMI
TIA Portal w 7 min. Podłączenie PLC i PLCsim do wirtualnego HMITIA Portal w 7 min. Podłączenie PLC i PLCsim do wirtualnego HMI
TIA Portal w 7 min. Podłączenie PLC i PLCsim do wirtualnego HMIFundacja CALM edu Grzegorz Czekała
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychSecuRing
 
Pierwszy program w c# cezary walencik
Pierwszy program w c# cezary walencikPierwszy program w c# cezary walencik
Pierwszy program w c# cezary walencikCezary Walenciuk
 
PHP. Programowanie w systemie Windows. Vademecum profesjonalisty
PHP. Programowanie w systemie Windows. Vademecum profesjonalistyPHP. Programowanie w systemie Windows. Vademecum profesjonalisty
PHP. Programowanie w systemie Windows. Vademecum profesjonalistyWydawnictwo Helion
 
Visual basic-2005-express-i-mysql
Visual basic-2005-express-i-mysqlVisual basic-2005-express-i-mysql
Visual basic-2005-express-i-mysqlPrzemysław Wolny
 
Jak zacząć, aby nie żałować - czyli 50 twarzy PHP
Jak zacząć, aby nie żałować - czyli 50 twarzy PHPJak zacząć, aby nie żałować - czyli 50 twarzy PHP
Jak zacząć, aby nie żałować - czyli 50 twarzy PHPPiotr Horzycki
 
Produkcja aplikacji internetowych
Produkcja aplikacji internetowychProdukcja aplikacji internetowych
Produkcja aplikacji internetowychTomasz Borowski
 
Od Figmy do gotowej aplikacji bez linijki kodu
Od Figmy do gotowej aplikacji bez linijki koduOd Figmy do gotowej aplikacji bez linijki kodu
Od Figmy do gotowej aplikacji bez linijki koduThe Software House
 
C++ Builder 6. Vademecum profesjonalisty
C++ Builder 6. Vademecum profesjonalistyC++ Builder 6. Vademecum profesjonalisty
C++ Builder 6. Vademecum profesjonalistyWydawnictwo Helion
 
Łebski Development czyli kiedy i dlaczego tworzyć oprogramowanie pod klucz i ...
Łebski Development czyli kiedy i dlaczego tworzyć oprogramowanie pod klucz i ...Łebski Development czyli kiedy i dlaczego tworzyć oprogramowanie pod klucz i ...
Łebski Development czyli kiedy i dlaczego tworzyć oprogramowanie pod klucz i ...Wojciech Sznapka
 
Visual C++ 2005 Express Edition. Tworzenie aplikacji dla Windows
Visual C++ 2005 Express Edition. Tworzenie aplikacji dla WindowsVisual C++ 2005 Express Edition. Tworzenie aplikacji dla Windows
Visual C++ 2005 Express Edition. Tworzenie aplikacji dla WindowsWydawnictwo Helion
 
Asembler. Podręcznik programisty
Asembler. Podręcznik programistyAsembler. Podręcznik programisty
Asembler. Podręcznik programistyWydawnictwo Helion
 
PHP4. Zaawansowane programowanie
PHP4. Zaawansowane programowaniePHP4. Zaawansowane programowanie
PHP4. Zaawansowane programowanieWydawnictwo Helion
 
Visual Basic 2005 Express i My Sql ebook
Visual Basic 2005 Express i My Sql ebookVisual Basic 2005 Express i My Sql ebook
Visual Basic 2005 Express i My Sql ebooke-booksweb.pl
 
Michał Sajdak, Testy bezpieczeństwa -­‐ teoria a praktyka
Michał Sajdak, Testy bezpieczeństwa -­‐ teoria a praktykaMichał Sajdak, Testy bezpieczeństwa -­‐ teoria a praktyka
Michał Sajdak, Testy bezpieczeństwa -­‐ teoria a praktykaFuture Processing
 

Similaire à "Sandbox dla PowerShell'a - zrób to sam!" - Dawid Pachowski (20)

Open Source - czy aby napewno zło?” - Piotr Pyciński, KrakSpot#5
Open Source - czy aby napewno zło?” - Piotr Pyciński, KrakSpot#5Open Source - czy aby napewno zło?” - Piotr Pyciński, KrakSpot#5
Open Source - czy aby napewno zło?” - Piotr Pyciński, KrakSpot#5
 
Praktyczne code reviews - PHPConPl
Praktyczne code reviews - PHPConPlPraktyczne code reviews - PHPConPl
Praktyczne code reviews - PHPConPl
 
TIA Portal w 7 min. Podłączenie PLC i PLCsim do wirtualnego HMI
TIA Portal w 7 min. Podłączenie PLC i PLCsim do wirtualnego HMITIA Portal w 7 min. Podłączenie PLC i PLCsim do wirtualnego HMI
TIA Portal w 7 min. Podłączenie PLC i PLCsim do wirtualnego HMI
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnych
 
Webinar symfony
Webinar symfonyWebinar symfony
Webinar symfony
 
Pierwszy program w c# cezary walencik
Pierwszy program w c# cezary walencikPierwszy program w c# cezary walencik
Pierwszy program w c# cezary walencik
 
PHP. Programowanie w systemie Windows. Vademecum profesjonalisty
PHP. Programowanie w systemie Windows. Vademecum profesjonalistyPHP. Programowanie w systemie Windows. Vademecum profesjonalisty
PHP. Programowanie w systemie Windows. Vademecum profesjonalisty
 
Visual basic-2005-express-i-mysql
Visual basic-2005-express-i-mysqlVisual basic-2005-express-i-mysql
Visual basic-2005-express-i-mysql
 
Jak zacząć, aby nie żałować - czyli 50 twarzy PHP
Jak zacząć, aby nie żałować - czyli 50 twarzy PHPJak zacząć, aby nie żałować - czyli 50 twarzy PHP
Jak zacząć, aby nie żałować - czyli 50 twarzy PHP
 
Produkcja aplikacji internetowych
Produkcja aplikacji internetowychProdukcja aplikacji internetowych
Produkcja aplikacji internetowych
 
Od Figmy do gotowej aplikacji bez linijki kodu
Od Figmy do gotowej aplikacji bez linijki koduOd Figmy do gotowej aplikacji bez linijki kodu
Od Figmy do gotowej aplikacji bez linijki kodu
 
C++ Builder 6. Vademecum profesjonalisty
C++ Builder 6. Vademecum profesjonalistyC++ Builder 6. Vademecum profesjonalisty
C++ Builder 6. Vademecum profesjonalisty
 
Łebski Development czyli kiedy i dlaczego tworzyć oprogramowanie pod klucz i ...
Łebski Development czyli kiedy i dlaczego tworzyć oprogramowanie pod klucz i ...Łebski Development czyli kiedy i dlaczego tworzyć oprogramowanie pod klucz i ...
Łebski Development czyli kiedy i dlaczego tworzyć oprogramowanie pod klucz i ...
 
Visual C++ 2005 Express Edition. Tworzenie aplikacji dla Windows
Visual C++ 2005 Express Edition. Tworzenie aplikacji dla WindowsVisual C++ 2005 Express Edition. Tworzenie aplikacji dla Windows
Visual C++ 2005 Express Edition. Tworzenie aplikacji dla Windows
 
Flash i PHP5. Podstawy
Flash i PHP5. PodstawyFlash i PHP5. Podstawy
Flash i PHP5. Podstawy
 
Asembler. Podręcznik programisty
Asembler. Podręcznik programistyAsembler. Podręcznik programisty
Asembler. Podręcznik programisty
 
Praktyki techniczne
Praktyki technicznePraktyki techniczne
Praktyki techniczne
 
PHP4. Zaawansowane programowanie
PHP4. Zaawansowane programowaniePHP4. Zaawansowane programowanie
PHP4. Zaawansowane programowanie
 
Visual Basic 2005 Express i My Sql ebook
Visual Basic 2005 Express i My Sql ebookVisual Basic 2005 Express i My Sql ebook
Visual Basic 2005 Express i My Sql ebook
 
Michał Sajdak, Testy bezpieczeństwa -­‐ teoria a praktyka
Michał Sajdak, Testy bezpieczeństwa -­‐ teoria a praktykaMichał Sajdak, Testy bezpieczeństwa -­‐ teoria a praktyka
Michał Sajdak, Testy bezpieczeństwa -­‐ teoria a praktyka
 

"Sandbox dla PowerShell'a - zrób to sam!" - Dawid Pachowski

  • 1. Sandbox dla PowerShella Zrób to sam! Dawid Pachowski
  • 2. O mnie  Już w podstawówce bronił koleżanek przed atakami APT  Z wykształcenia programista z kilkuletnim doświadczeniem  Aktualnie bezpiecznik w jednej z polskich instytucji finansowych, na co dzień zwinnie walczący ze słabościami ludzkimi i aplikacyjnymi  W wolnych chwilach wykładowca na uczelni wyższej 2 Sandbox dla PowerShella - Zrób to sam! Confidence 2019
  • 3. Agenda 1. Dlaczego deobfuskujemy PowerShell’a? 2. Metoda 1 – Windows Event Log 3. Metoda 2 – Set-PSDebug 4. Nowości od Microsoft’u 5. Metoda 3 6. Podsumowanie 3 Sandbox dla PowerShella - Zrób to sam! Confidence 2019
  • 4. Cel deobfuskacji PowerShell’a  Codziennie wiele korporacji jest atakowane malspam’em  W załącznikach znajdują się różnego typu dropper’y  JavaScript  Jscript  VisualBasic (VBA,VBS)  PowerShell  Skrypty języka PowerShell są często generowane i uruchamiane przez droppery  Bywają one zaciemnione, żeby utrudnić ich analizę 4 Sandbox dla PowerShella - Zrób to sam! Confidence 2019
  • 5. Metoda 1 – Windows Event Log  Trzeba włączyć w zasadach grup (GPO)  W podglądzie zdarzeń (EventViewer) pojawiają się bloki skryptów PowerShell, które są uruchamiane https://docs.microsoft.com/en-us/powershell/wmf/5.0/audit_script 5 Sandbox dla PowerShella - Zrób to sam! Confidence 2019
  • 6. Metoda 1 – Windows Event Log 6 Sandbox dla PowerShella - Zrób to sam! Confidence 2019
  • 7. Metoda 2 – Set-PSDebug Confidence 2019Sandbox dla PowerShella - Zrób to sam!7 Set-PSDebug -Trace 2  Włącza tryb debugowania  Powoduje wyświetlenie pośrednich etapów uruchamianych skryptów  Wyświetla przypisywanie wartości do zmiennych  Wyświetla uruchamiane fukncje
  • 8. Metoda 2 – Set-PSDebug Confidence 2019Sandbox dla PowerShella - Zrób to sam!8
  • 9. Demo Metoda 1 i Metoda 2 Confidence 2019Sandbox dla PowerShella - Zrób to sam!9
  • 10. Demo - dropper Confidence 2019Sandbox dla PowerShella - Zrób to sam!10
  • 11. Demo – metoda 1 Confidence 2019Sandbox dla PowerShella - Zrób to sam!11
  • 12. Demo – metoda 2 Confidence 2019Sandbox dla PowerShella - Zrób to sam!12
  • 13. Demo – modyfikacja droppera Confidence 2019Sandbox dla PowerShella - Zrób to sam!13
  • 14. Demo – obfuskacja droppera Confidence 2019Sandbox dla PowerShella - Zrób to sam!14
  • 15. Metoda 1 i 2 – wady i zalety Confidence 2019Sandbox dla PowerShella - Zrób to sam!15 + Szybka konfiguracja + Łatwe w użyciu - Skrypt może wyczyścić logi lub wyłączyć debugowanie - Gotowe i zamknięte rozwiązanie
  • 16. Metoda 1 i 2 – wady i zalety Confidence 2019Sandbox dla PowerShella - Zrób to sam!16 + Szybka konfiguracja + Łatwe w użyciu - Skrypt może wyczyścić logi lub wyłączyć debugowanie - Gotowe i zamknięte rozwiązanie Czy na pewno?
  • 17. Nowości od Microsoft’u Niemożliwe… 17 Confidence 2019Sandbox dla PowerShella - Zrób to sam!
  • 18. Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!18  Chcę przeprowadzić analizę skryptu PowerShell’a  Środowisko do analizy przygotowane już na LUbuntu  Malware w większości na Windows’a  Skąd wziąć PowerShell’a na LUbuntu?  A może Docker?
  • 19. Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!19
  • 20. Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!20
  • 21. Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!21
  • 22. Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!22 https://github.com/PowerShell/PowerShell
  • 23. Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!23 https://github.com/PowerShell/PowerShell
  • 24. Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!24
  • 25. Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!25 https://github.com/PowerShell/PowerShell
  • 26. Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!26
  • 27. Nowości od Microsoft’u Confidence 2019Sandbox dla PowerShella - Zrób to sam!27
  • 28. Nowości od Microsoft’u – nie wierzę Confidence 2019Sandbox dla PowerShella - Zrób to sam!28 Czas trwania: ok. 2h
  • 29. Nowości od Microsoft’u – nie wierzę Confidence 2019Sandbox dla PowerShella - Zrób to sam!29 Czas trwania: ok. 10min Prawie 1300 plików *.cs, które mają ponad 130 000 linii kodu
  • 30. Nowości od Microsoft’u – nie wierzę Confidence 2019Sandbox dla PowerShella - Zrób to sam!30 Czas trwania: ok. 5min
  • 31. Nowości od Microsoft’u – nie wierzę Confidence 2019Sandbox dla PowerShella - Zrób to sam!31
  • 32. Nowości od Microsoft’u – nie wierzę Confidence 2019Sandbox dla PowerShella - Zrób to sam!32 Czas trwania: ok. 10min, W sumie: <2,5h
  • 33. Demo Zbudowany interpreter PowerShell’a - możliwości Confidence 2019Sandbox dla PowerShella - Zrób to sam!33
  • 34. Demo – uruchomienie interpretatora PS Confidence 2019Sandbox dla PowerShella - Zrób to sam!34
  • 35. Demo – modyfikacja interpretatora PS Confidence 2019Sandbox dla PowerShella - Zrób to sam!35
  • 36. Demo – modyfikacja interpretatora PS Confidence 2019Sandbox dla PowerShella - Zrób to sam!36
  • 37. Demo – a może Visual Studio? Confidence 2019Sandbox dla PowerShella - Zrób to sam!37
  • 38. Demo – a może Visual Studio? Confidence 2019Sandbox dla PowerShella - Zrób to sam!38
  • 39. Demo – zróbmy własny sandbox! Confidence 2019Sandbox dla PowerShella - Zrób to sam!39
  • 40. Interpreter PowerShell’a – Metoda 3 Confidence 2019Sandbox dla PowerShella - Zrób to sam!40 + Nie do zablokowania + Nieograniczone możliwości + Można zbudować box-js dla PowerShell’a - Przygotowanie wymaga umiejętności programisty C#
  • 41. Podsumowanie Sandbox dla PowerShella - Zrób to sam! a nowości od Microsoftu Confidence 2019Sandbox dla PowerShella - Zrób to sam!41
  • 42. Podsumowanie Confidence 2019Sandbox dla PowerShella - Zrób to sam!42  Każda z metod ma swoje plusy i minusy  Ile zmieniło opublikowanie kodu źródłowego interpretera języka PowerShell?
  • 43. Podsumowanie Confidence 2019Sandbox dla PowerShella - Zrób to sam!43  Każda z metod ma swoje plusy i minusy  Ile zmieniło opublikowanie kodu źródłowego interpretera języka PowerShell?  Jest to kolejny argument za oprogramowaniem z otwartym kodem źródłowym (Open Source)
  • 44. Dziękuję Dawid Pachowski, dpachowski@protonmail.com Confidence 2019Sandbox dla PowerShella - Zrób to sam!44