scumware org что это
scumware
Смотреть что такое «scumware» в других словарях:
scumware — noun malware … Wiktionary
Ad-Aware — Infobox Software name = Lavasoft s Ad Aware caption = Ad Aware 2008 Screenshot author = developer = Lavasoft AB, Sweden released = latest release version = 7.1.0.11 latest release date = release date and age|2008|09|19 latest preview version =… … Wikipedia
Privacy-invasive software — is a category of computer software that ignores users’ privacy and that is distributed with a specific intent, often of a commercial nature. Three typical examples of privacy invasive software are adware, spyware and content hijacking programs.… … Wikipedia
Ad-Aware — Lavasoft s Ad Aware Desarrollador Lavasoft AB, Sweden http://www.adaware.es/ Información general Última versión estable 9.6 1 de novie … Wikipedia Español
Ad-Aware — Ad Aware … Википедия
Spybot — Search & Destroy — Карточка программы name = Spybot Search Destroy logo = screenshot = caption = genre = Anti Spyware developer = Safer Networking Limited programming language = operating system = Microsoft Windows (4.x, NT, Mobile CE 3.0 5, Wine), Symbian (UIQ 2)… … Википедия
Spybot — Search & Destroy — Spybot Search Destroy Тип Anti Spyware Разработчик Safer Networking Limited ОС … Википедия
SpyBot — Search Destroy Тип Anti Spyware Разработчик Safer Networking Limited ОС … Википедия
Spybot — Search \x26 Destroy — Spybot Search Destroy Spybot Search Destroy Тип … Википедия
SCUMWARE.org
Just another free alternative for security and malware researchers. Access to certain resources is limited by credit which can be obtained by typing in ‘captcha’.
Latest threats
Featured resources
Below you will find shortcuts to the resources of the website with a brief description.
With time website will be improved by adding new fascinating functionality. If you would like to share your opinion or suggestion please contact us.
NOTE: Using of any automatic, semi-automatic and manual bots, crawlers, mirroring tools is strictly prohibited. Access to certain resources is limited by credit which can be obtained by typing in ‘captcha’. If you would like to process data automatically, please contact first.
Add URL
If you want to improve the resources of this site then the best way to do it is add the URL address, which can be dangerous. URL address will be scanned by crawlers which can find threat.
Read more
Stats
Here you can find statistics on the work of crawlers. The statistics include the number of threats detected, the size of files that are harmful, geographic distribution of threats, etc.
Read more
Reports
In this section you will find the detailed reports on the distribution of threats. Reports are divided into two groups: TLD and GEO.
Read more
Search
Search is sometimes the fastest way to reach the appropriate information. Possible queries by following data: MD5, IP address, hostname or the beginnings of a URL.
Read more
Куда сообщать об опасных веб-сайтах
Автор: Chiron
Оригинал статьи
Перевод: Александр Рябов
Однако, как насчет самого сайта? Почему бы не сделать что-нибудь по поводу того, что такой сайт существует и другие люди могут тоже наткнуться на него? В этой ситуации мы предлагаем вам сообщить о сайте в многочисленные веб-службы, которые вносят опасные сайты в черные списки. Ваше сообщение может даже привести к тому, что сайт будет закрыт.
В данной статье эти службы поделены на те, которые имеют дело с опасными сайтами любого типа, с вредоносными или фишинговыми сайтами, только с вредоносными и только с фишинговыми. Кроме того, в рамках каждой категории выделены те службы, в которые мы определенно советовали бы уведомлять. Они обозначены как «Приоритетные». Другие службы, которые помечены как «Второстепенные», это веб-службы, которым вы можете послать URL-адрес, если вы не торопитесь и у вас есть свободная минутка. Уведомление как можно большего количества служб даст наилучшие результаты, но если вы спешите, то, по крайней мере, убедитесь, что вы сообщили о сайте в приоритетные службы. Это потребует очень немого усилий, но будет очень эффективно.
Содержание
Если вы пострадали от киберпреступления какого-либо вида и находитесь в Соединенных Штатах, прежде чем что-либо предпринимать, сперва вам нужно подать жалобу в Центр жалоб FBI и NW3C. Обратите внимание на то, что вся информация, предоставляемая им, должна быть максимально точной. Как только это сделано, вы можете уведомить о рассматриваемом сайте службы, описываемые ниже, но сообщение о нем в FBI является самым важным, что вы можете сделать, чтобы помочь противостоянию преступникам.
2. Как сообщить о сайте, сохраняя полную анонимность
Если вы смущаетесь того, чтобы сообщить о сайте, возможно это потому, что вы полагаете, что этот материал не должны были просматривать первым делом; существуют способы скрыть, кто вы такой. Не позволяйте этому страху препятствовать тому, чтобы помогать другим.
Хотелось бы отметить, что, насколько мне известно, ни одна из служб, обсуждаемых ниже, не интересуется расследованием вашего посещения сайтов с материалом какого-либо типа. Они ориентированы на превращение интернета в более безопасное место для всех. Однако, если вы все еще волнуетесь, что не уверены по поводу своей приватности, используйте VPN-сервис при отправке данных, например CyberGhost VPN.
3. Первым делом проанализируйте URL в онлайн-сканерах
Вы можете проверить, не является сайт вредоносным, используя советы в статье Как выяснить, не опасен ли веб-сайт.
4. Куда сообщить о сайте
Сообщите об опасном URL-адресе в службы, упомянутые ниже. Они распределены по категориям, что должно облегчить выбор, в какие службы вы должны сообщить о сайте. Обратите внимание, что независимо от причин, по которым вы допускаете, что сайт опасен, вы всегда должны сообщать о нем в веб-службы из категории «Службы, имеющие список большинства типов опасных сайтов».
Кроме прочего, если это сайт, содержащий вредоносный контент, вы должны сообщить о нем в службы из разделов «Службы, имеющие список вредоносных или фишинговых сайтов» и «Службы, имеющие список только вредоносных сайтов». Если это фишинговый сайт, вам нужно сообщить о нем в службы из разделов «Службы, имеющие список вредоносных или фишинговых сайтов» и «Службы, имеющие список только фишинговых сайтов». Если это поддельная аптека, вы должны сообщить о ней в службу раздела «Службы, в которые сообщать только о ложных аптеках».
4.1 Веб-службы, имеющие список большинства типов опасных сайтов
Сообщите о сайте в Web of Trust: обратите внимание, что оценивать веб-сайты могут только пользователи, которые обзавелись бесплатной учетной записью Web of Trust. Вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты сканирования на URLVoid. Пользователи Web of Trust могут также помочь другим избежать встреч с каким-то сайтом, оценив его и оставив комментарий посредством программы Web of Trust Toolbar. Обратите внимание на то, что вы можете оценивать сайт и как надежный тоже.
Сообщите о сайте в Trustwave: вы можете проверить, не был ли уже отмечен сайт как опасный, вставив URL-адрес вот на этой странице. Если он не отмечен как опасный, вы можете сообщить о нем вот на этой странице. Включите URL-адрес и описание того, почему вы считаете этот веб-сайт опасным. Обратите внимание, что вы можете также сообщить о ложной тревоге через ту же форму.
Сообщите о сайте в BrightCloud: вы можете проверить, не был ли сайт уже отмечен как опасный, вставив его адрес на этой странице. Если он не отмечен как опасный, выберите опцию «Request a new URL category» («Запросить новую категорию для URL»), чтобы присвоить ему более подходящую категорию. Вы можете также выбрать «Request URL Reputation Change» («Запросить изменение репутации URL») и сообщить, чтобы дали ему низкую репутацию.
Сообщите о сайте в BitDefender: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты теста URLVoid. Если он не отмечен как опасный, вы можете сообщить о сайте им, оставив сообщение на их форумах. Включите в сообщение адрес URL и описание того, почему вы полагаете, что он опасен. Обратите внимание на то, что вам потребуется бесплатная учетная запись на форуме, чтобы сделать это. Отметьте также, что вы еще можете сообщить о «ложных тревогах» вот в этом разделе. Если сайт спустя 5 рабочих дней после того, как он был представлен, все еще не помещен в черный список, вы можете создать новую тему и попросить об этом.
Сообщите о сайте в Norton: вы можете проверить, не был ли веб-сайт уже отмечен как опасный, вставив URL вот на этом сайте. Если он не отмечен как опасный и является сайтом фишинга, любой посетитель может сообщить о нем на этой странице. О любом другом типе сайтов сообщить могут только пользователи с бесплатной учетной записью Norton Safe Web. Это можно сделать, проверив сайт на этой странице и затем добавив ваш собственный отзыв. Если сайт все еще не помещен в черный список по истечении 5 рабочих дней после того, как он был представлен, вы можете создать новую тему вот в этом разделе форумов Norton и попросить об этом.
Сообщите о сайте в Trend Micro: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты теста URLVoid. Если он не был назван опасным, то проверьте его вот на этой странице и затем выберите опцию «Reclassify Request» («Переклассифицировать запрос»). Затем вы можете объяснить, что опасного в этом сайте и доложить о нем как об опасном.
Сообщите о сайте в Sophos: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты VirusTotal. Если он не отмечен как опасный, то для того, чтобы сообщить им о нем, вы можете послать электронное письмо вот по этому адресу. В текст собщения включите URL и описание того, почему вы полагаете, что сайт опасен.
Сообщите о сайте в Fortinet: вы можете проверить, не был ли сайт уже отмечен как опасный, вставив URL-адрес в поле поиска вот на этой странице и щелкнув Lookup. Если сайт не был отмечен как опасный, вы можете заявить о нем как об опасном, заполнив поля под заголовком «Classification/Rating Request» («Просьба принять классификацию или оценку») и выбрав соответствующую категорию.
Сообщите о сайте в Web Security Guard: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты теста URLVoid. Если сайт не был отмечен как опасный, вы можете заявить о нем наэтой странице. Сообщите URL и опишите, почему вы считаете, что сайт опасен.
4.2 Веб-службы, имеющие список вредоносных или фишинговых сайтов
Сообщите о сайте в Google Safe Browsing: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты проверки на VirusTotal. Если он не отмечен как опасный и несет вредоносный контент, вы можете сообщить об этом сайте вот на этой странице. Если это фишинговый сайт, вы должны сообщить о нем на этой странице. Черный список Google Safe Browsing используется для браузеров Chromium, Safari и Firefox. Если на текущий момент Google отметила сайт как фишинговую страницу, но вы полагаете, что это неправильно, вы можете сообщить на этой странице, что это ложная тревога.
Сообщите о сайте на Яндекс: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты проверки на VirusTotal. Если сайт не отмечен как опасный, вы можете сообщить о нем, заполнив форму вот на этой странице. Убедитесь, что правильно выбрали тип опасного сайта. Черный список Яндекса используется для браузера Opera.
Сообщите о сайте на hpHosts: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты теста URLVoid. Если сайт не отмечен как опасный, вы можете сообщите о нем, отправив электронное письмо вот по этому адресу. В тексте сообщения укажите URL-адрес сайта и опишите, почему вы полагаете, что он опасен.
Сообщите о сайте на странице Internet Explorer: чтобы сообщить об опасном сайте какого-либо типа, который еще не блокируется IE, убедитесь, что вы запустили IE и находитесь на упомянутом веб-сайте. Теперь щелкните по значку «Безопасность» («Safety»), который находится на панели инструментов, выберите «Фильтр SmartScreen» («SmartScreen Filter»), затем «Сообщить о небезопасном веб-сайте» («Report unsafe website»).
Сообщите о сайте в «Лабораторию Касперского»: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты проверки на VirusTotal, где используются данные Kaspersky URL Advisor. Чтобы сообщить им о сайте, вы должны сделать запрос в Вирусную лабораторию. Выберите тип запроса «Запрос на исследование веб-ресурса» и предоставьте подробное описание возникшей ситуации.
Сообщите о сайте в McAfee: вы можете проверить, не отмечен ли уже сайт как опасный, перейдя вот на эту страницу, выбрав McAfee SiteAdvisor и введя URL-адрес. Если он не был уже отмечен как опасный, вы можете сообщить о нем, порекомендовав для него новую категорию URL и предоставив комментарии в соответствующем поле.
Сообщите о сайте в AVG: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев отчет на URLVoid. Если он не отмечен как опасный, то для того, чтобы сообщить о нем, вы можете перейти на эту страницу. Выберите «Вредоносное ПО для анализа», укажите URL ссылку и опишите в поле «Подробные сведения о проблеме», почему вы полагаете, что этот сайт опасен. Если сайт все еще не помещен в черный список по истечении 5 рабочих дней после того, как он был представлен, вы можете создать новую тему вот на этой странице и сообщить о нем. Однако обратите внимание, что создание темы на той странице требует, чтобы вы бесплатно зарегистрировались. Отметьте также, что о ложной тревоге можно сообщить вот на этой странице.
Сообщите о сайте на Comodo SiteInspector: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты проверки на VirusTotal. Чтобы сообщить о сайте как об опасном, вставьте URL вот на этой странице и щелкните кнопку «Start The Scan» («Начать сканирование»). После этого нажмите «Report as Malicious» («Сообщить как о вредоносном») и объясните, что по-вашему было опасного в этом сайте.
Сообщите о сайте в Dr. Web: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты проверки на VirusTotal. Если он не отмечен как опасный, но является или вредоносной страницей или страницей фишинга, вы можете сообщить о нем вот на этой странице. Если это страница фишинга, вы должны выбрать фильтр «Objectionable websites» («Нерекомендуемые сайты»). Кроме того, независимо от типа сайта, не забудьте добавить в поле для комментариев описание того, почему вы считаете сайт опасным.
Сообщите о сайте в Malwarebytes: если вы не пользуетесь их фирменным программным обеспечением, в настоящее время нет никакого способа узнать, помещен ли сайт в черный список Malwarebytes. Таким образом, мой совет в том, чтобы исходить из того, что они не знают о сайте и сообщить им о нем. Чтобы сообщить им о сайте, вы должны представить его на их форуме. Предоставьте адрес URL и описание того, почему вы полагаете, что он опасен. Отметьте, что вам потребуется бесплатная регистрация на форуме, чтобы сделать это.
Сообщите о сайте в K7: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты теста на VirusTotal. Если он не отмечен как опасный, вы можете сообщить им о сайте по электронной почте вот на этот адрес. В тексте сообщения предоставьте URL сайта и описание того, почему вы считаете его опасным.
Сообщите о сайте в ESET: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты теста на VirusTotal. Чтобы сообщить о вредоносном ресурсе, вы можете послать электронное письмо по этому адресу. В текст письма включите URL и описание того, почему вы полагаете, что сайт опасен. Сообщить о фишинговом веб-сайте можно используя данную форму.
4.3 Веб-службы, имеющие список только для вредоносных сайтов
Сообщите о сайте в Wepawet: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты проверки на VirusTotal. Если сайт еще не отмечен как опасный, вы можете сообщить о нем, вставив URL вот на этой странице и, если вы не обладаете детальной информацией о возможной угрозе, выбрав «Submit for analysis» («Отправить на анализ»).
Сообщите о сайте на MalwareURL: вы можете проверить, не отмечен ли сайт уже как опасный, вставив URL-адрес на этой странице. Если он еще не был отмечен как опасный, вы можете сообщить о нем вот на этой странице. Сообщите URL и опишите, почему вы полагаете, что он опасен.
Сообщите о сайте на MalwareDomains/DNS-BH: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты проверки на URLVoid. В списке этот сервис будет значиться как «DNS-BH». Если сайт не отмечен как опасный, вы можете сообщить о нем в электронном письме по этому адресу. Убедитесь, что в письмо был включен результат анализа Wepawet. Проверьте, чтобы этот анализ Wepawet был как можно более свежим.
Сообщите о сайте на Malware Patrol: вы можете проверить, не отмечен ли уже сайт как опасный, просмотрев результаты URLVoid. Если сайт не отмечен как опасный, вы можете сообщить о нем, заполнив форму на этой странице. Внимательно читайте инструкции.
Сообщите о сайте на Badwarebusters: несмотря на то, что эта служба фактически не держит черного списка для сайтов, я добавил ее сюда, потому что здесь информация о сайте делается широко доступной и поэтому может способствовать тому, что сайт будет помещен в черные списки или вовсе удален из интернета. Таким образом, независимо от того, распознается сайт службами или нет, вы можете сообщить о нем «Охотникам за плохим софтом» (Badwarebusters), заполнив форму на этой странице. Не забудьте предоставить как можно более наглядное объяснение, почему сайт опасен.
Сообщите о сайте на urlQuery: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты проверки на VirusTotal. Если там он не назван опасным, то для того, чтобы уведомить о нем, вы просто вставляете URL вот на этой странице и выбираете «GO!».
Сообщите о сайте в Anubis: и с целью проверки, не был ли уже сайт распознан как опасный, и с целью уведомления о нем, если это необходимо, вам нужно лишь вставить URL на этой странице и нажать «Submit for Analysis» («Отправить на анализ»).
Сообщите о сайте в MalwareDomainList: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты проверки на VirusTotal. Если он еще не отмечен как опасный, вы можете оповестить о нем, сообщив на их форуме вот на этой странице. Обратите внимание, что вам для этого потребуется бесплатная регистрация.
Сообщите о сайте на Scumware.org: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты проверки на VirusTotal. Если сайт не отмечен как опасный, вы можете сообщить о нем наэтой странице. Приложите адрес URL и описание того, почему вы полагаете, что он опасен. Обратите внимание, что о ложной тревоге можно сообщить через форму для контактов на этой странице.
Сообщите о сайте в Minotaur Malware Analysis: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты проверки на VirusTotal. Если там он не отмечен как опасный, вы можете сообщить об этом сайте вот на этой странице. Обратите внимание, что вы можете лишь отправлять ссылки, ведущие непосредственно к исполняемым файлам либо к PDF-файлам. Кроме того, в поле вписывайте только URL-адрес. Не пишите комментарии, объясняющие, почему сайт опасен.
Сообщите о сайте на MalwareBlackList: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты проверки на URLVoid. Если он еще не отмечен как опасный, вы можете вставить его адрес вот на этой странице и выбрать опцию «Submit URL(s)» («Представить URL-адрес (-а)»). Однако, обратите внимание, что потребуется бесплатная регистрация. Отметьте, что о ложной тревоге можно сообщитьвот на этой странице.
Сообщите о сайте на GData: вы можете проверить, не отмечен ли уже сайт как опасный, просмотрев результаты G-Data на VirusTotal. Если он еще не отмечен как опасный, вы можете вставить его адрес на этой странице. Также, добавьте описание того, почему вы полагаете, что сайт опасен.
4.4 Службы, имеющие список только фишинговых сайтов
Сообщите о сайте в US-CERT: вам нужно всегда уведомлять о сайте US-CERT, отправляя электронное письмо вот по этому адресу, независимо от того, распознала служба веб-сайт или нет. Включите в текст URL-адрес сайта и описание того, почему вы полагаете, что он опасен. Однако, если вы уже посылали электронное письмо о фишинговом сайте в US-CERT, нет нужды сообщать им о нем снова.
Сообщите о сайте на Phishtank: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты проверки на VirusTotal. Если он не отмечен как опасный и является фишинговым сайтом, вы можете сообщить о сайте на этой странице. Кроме того, если вы попали на сайт не через электронную почту, упомяните об этом в поле. Имейте в виду, что потребуется бесплатная регистрация.
Сообщите о сайте в NetCraft: вы можете проверить, не был ли сайт уже отмечен как опасный, просмотрев результаты проверки на URLVoid. Если он не отмечен как опасный, вы можете уведомить о сайте вот на этой странице. Включите URL и описание того, почему вы полагаете, что он опасен. Обратите внимание, что имя, которое вы сообщите, может быть предано огласке, следовательно вы, возможно, хотели бы воздержаться от предоставления им такого рода информации.
4.5 Службы, в которые сообщать только о ложных аптеках
Сообщите о сайте в LegitScript: вы можете проверить, не был ли сайт уже отмечен как мошеннический, вставив URL-адрес аптеки в поле на этой странице, помеченное «Check Online Pharmacy Legitimacy» («Проверка законности интернет-аптеки») и щелкнув Verify (Проверить). Если окажется, что сайт еще не был отмечен как мошеннический, то вам будет предоставлена возможность сообщить о нем. Обязательно предоставьте любую информацию, которая по-вашему имеет отношение к делу.
Приключения неуловимой малвари, часть I
Этой статьей мы начинаем серию публикаций о неуловимых малвари. Программы для взлома, не оставляющие следов атаки, известные также как fileless («бестелесные», невидимые, безфайловые), как правило, используют PowerShell на системах Windows, чтобы скрытно выполнять команды для поиска и извлечения ценного контента. Обнаружить хакерскую деятельность без вредоносных файлов — сложно выполнимая задача, т.к. антивирусы и многие другие системы обнаружения работают на основе сигнатурного анализа. Но хорошая новость состоит в том, что такое ПО все же существует. Например, UBA-системы, способные обнаружить вредоносную активность в файловых системах.
Когда я впервые начал изучать тему крутых хакеров, не использующих традиционные способы заражения, а лишь доступные на компьютере жертвы инструменты и программное обеспечение, я и не подозревал, что вскоре это станет популярным способом атаки. Профессионалы в области безопасности говорят, что это становится трендом, а пугающие заголовки статей – тому подтверждение. Поэтому я решил сделать серию публикаций на эту тему.
Великий и ужасный PowerShell
Я писал о некоторых из этих идей раньше в серии обфускации PowerShell, но больше исходя из теоретического представления. Позже я наткнулся на сайт для гибридного анализа, где можно найти образцы малвари, «отловленной» в дикой природе. Я решил попробовать использовать этот сайт для поиска образцов fileless-вредоносов. И мне это удалось. Кстати, если вы захотите отправиться в свою собственную экспедицию по поиску вредоносных программ, вам придется пройти проверку на этом сайте, чтобы они знали, что вы делаете работу как white hat специалист. Как блогер, который пишет о безопасности, я прошел ее без вопросов. Я уверен, вы тоже сможете.
Помимо самих образцов на сайте можно увидеть, что же делают эти программы. Гибридный анализ запускает вредоносное ПО в собственной песочнице и отслеживает системные вызовы, запущенные процессы и действия в сети, а также извлекает подозрительные текстовые строки. Для двоичных файлов и других исполняемых файлов, т.е. там, где вы даже не можете посмотреть на фактический код высокого уровня, гибридный анализ решает, является ли ПО вредоносным или просто подозрительным на основе его активности во время выполнения. И после этого уже оценивается образец.
В случае с PowerShell и другими образцами сценариев (Visual Basic, JavaScript и т. д.), я смог увидеть и сам код. Например, я наткнулся на такой PowerShell экземпляр:
Вы также можете запустить PowerShell в кодировке base64, чтобы избежать обнаружения. Обратите внимание на использование Noninteractive и Hidden параметров.
Вникай глубже
Я декодировал наш PS-сценарий с помощью этого метода, ниже представлен текст программы, правда слегка мной модифицированный:
Заметьте, что скрип был привязан к дате 4 сентября 2017 и передавал сессионные cookies.
Для чего это нужно?
Для программного обеспечения безопасности, сканирующего журналы событий Windows или файерволла, кодировка base64 предотвращает обнаружение строки «WebClient» по простому текстовому шаблону в целях защиты от выполнения такого веб-запроса. И так как все «зло» вредоносного ПО затем загружается и передается в наш PowerShell, этот подход таким образом позволяет полностью уклоняться от обнаружения. Вернее, это я так думал сначала.
Оказывается, с включением продвинутого логирования журнала Windows PowerShell (см. мою статью ) вы сможете увидеть загруженную строку в журнале событий. Я (как и другие ) считаю, что Microsoft следует включить данный уровень ведения журнала по умолчанию. Поэтому при включенном расширенном логировании мы увидим в журнале событий Windows выполненный запрос загрузки из PS скрипта по примеру, который мы разобрали выше. Поэтому имеет смысл его активировать, согласны?
Добавим дополнительные сценарии
Часто сам сценарий Visual Basic обфусцируется так, что он свободно уклоняется от антивирусов и других сканеров вредоносных программ. В духе уже изложенного, я решил в качестве упражнения закодировать приведенный выше PowerShell в JavaScript. Ниже результаты моей работы:
Обфусцированный JavaScript, прячущий наш PowerShell. Реальные хакеры делают это на раз-два.
Значок JS отображается только в иконке в виде свитка. Неудивительно, что многие люди будут открывать это вложение, думая, что это Word-документ.
В моем примере я изменил приведенный выше PowerShell, чтобы загрузить сценарий с моего веб-сайта. Удаленный сценарий PS просто печатает «Evil Malware». Как видите, он совсем не злой. Конечно, реальные хакеры заинтересованы в получении доступа к ноутбуку или серверу, скажем, через командую оболочку. В следующей статье я покажу, как это сделать, используя PowerShell Empire.
Надеюсь, что для первой ознакомительной статьи мы не слишком глубоко погрузились в тему. Теперь я позволю вам перевести дух, и в следующий раз мы начнем разбирать реальные примеры атак с использованием fileless-малвари без лишних вводных слов и подготовки.