ፕሮሆስተር > ጦማር > አስተዳደር > የኢሉሲቭ ማልዌር ጀብዱዎች፣ ክፍል II፡ ሚስጥራዊ VBA ስክሪፕቶች

የኢሉሲቭ ማልዌር ጀብዱዎች፣ ክፍል II፡ ሚስጥራዊ VBA ስክሪፕቶች

የኢሉሲቭ ማልዌር ጀብዱዎች፣ ክፍል II፡ ሚስጥራዊ VBA ስክሪፕቶች

ይህ መጣጥፍ ፋይል አልባ ማልዌር ተከታታይ አካል ነው። ሁሉም የተከታታዩ ክፍሎች፡-

የጣቢያው አድናቂ ነኝ ድብልቅ ትንተና (ድብልቅ ትንተና፣ ከዚህ በኋላ HA)። ይህ አይነት የማልዌር መካነ አራዊት ሲሆን የዱር "አዳኞችን" ከአስተማማኝ ርቀት ሆነው ያለምንም ጥቃት በጥንቃቄ የሚመለከቱበት ነው። HA ማልዌርን ደህንነቱ በተጠበቀ አካባቢ ያካሂዳል፣ የስርዓት ጥሪዎችን ይመዘግባል፣ የተፈጠሩ ፋይሎችን እና የኢንተርኔት ትራፊክን ይመዘግባል፣ እና ለሚመረምረው እያንዳንዱ ናሙና እነዚህን ሁሉ ውጤቶች ይሰጥዎታል። በዚህ መንገድ, ግራ የሚያጋባውን ኮድ እራስዎ ለማወቅ ጊዜዎን እና ጉልበትዎን ማባከን አይኖርብዎትም, ነገር ግን ሁሉንም የጠላፊዎችን ፍላጎት ወዲያውኑ መረዳት ይችላሉ.

ትኩረቴን የሳቡት የHA ምሳሌዎች ኮድ የተደረገ ጃቫ ስክሪፕት ወይም ቪዥዋል ቤዚክ ለመተግበሪያዎች (VBA) ስክሪፕቶችን በ Word ወይም Excel ሰነዶች ውስጥ እንደ ማክሮ የተከተቱ እና ከአስጋሪ ኢሜይሎች ጋር ተያይዘዋል። ሲከፈት፣ እነዚህ ማክሮዎች በተጠቂው ኮምፒውተር ላይ የPowerShell ክፍለ ጊዜን ይጀምራሉ። ጠላፊዎች በተለምዶ Base64 ኮድ የተደረገባቸው የትዕዛዝ ዥረት ወደ PowerShell ይልካሉ። ይህ ሁሉ የሚደረገው ጥቃቱን በድር ማጣሪያዎች እና ለአንዳንድ ቁልፍ ቃላት ምላሽ በሚሰጡ የጸረ-ቫይረስ ሶፍትዌሮች ለመለየት አስቸጋሪ ለማድረግ ነው።
እንደ እድል ሆኖ, HA Base64 ን በራስ-ሰር መፍታት እና ሁሉንም ነገር በሚነበብ ቅርጸት ወዲያውኑ ያሳያል። በመሰረቱ፣ እነዚህ ስክሪፕቶች እንዴት እንደሚሰሩ ላይ ማተኮር የለብዎትም ምክንያቱም የሂደቱን ሙሉ የትዕዛዝ ውጤት በተዛማጁ የHA ክፍል ውስጥ ማየት ይችላሉ። ከታች ያለውን ምሳሌ ይመልከቱ፡-

የኢሉሲቭ ማልዌር ጀብዱዎች፣ ክፍል II፡ ሚስጥራዊ VBA ስክሪፕቶች

ድብልቅ ትንተና ወደ PowerShell የተላኩ የBase64 ኮድ ትዕዛዞችን ያጠፋል፡-

የኢሉሲቭ ማልዌር ጀብዱዎች፣ ክፍል II፡ ሚስጥራዊ VBA ስክሪፕቶች

... እና ከዚያ ለእነሱ ዲኮድ ያደርጋቸው። #በአስማት

В ቀዳሚ ልጥፍ የPowerShell ክፍለ ጊዜን ለማስኬድ የራሴን በትንሹ የተደበቀ የጃቫስክሪፕት መያዣ ፈጠርኩ። የእኔ ስክሪፕት፣ ልክ እንደ ብዙ በPowerShell ላይ የተመሰረተ ማልዌር፣ በመቀጠል የሚከተለውን የPowerShell ስክሪፕት ከርቀት ድር ጣቢያ ያወርዳል። ከዚያ፣ እንደ ምሳሌ፣ በስክሪኑ ላይ መልእክት ያተመ ምንም ጉዳት የሌለው PS ጫንኩ። ነገር ግን ጊዜዎች እየተቀየሩ ነው፣ እና አሁን ሁኔታውን ለማወሳሰብ ሀሳብ አቀርባለሁ።

PowerShell ኢምፓየር እና የተገላቢጦሽ ሼል

የዚህ መልመጃ አንዱ ዓላማ ጠላፊ እንዴት (በአንፃራዊነት) እንዴት በቀላሉ ክላሲክ ፔሪሜትር መከላከያዎችን እና ፀረ-ቫይረስን ማለፍ እንደሚችል ማሳየት ነው። እንደ እኔ የፕሮግራም ችሎታ የሌለው የአይቲ ጦማሪ በሁለት ምሽቶች ውስጥ ማድረግ ከቻለ የማይታወቅ ማልዌር መፍጠር (ሙሉ በሙሉ ያልታወቀ፣ FUD)፣ በዚህ ላይ ፍላጎት ያለው ወጣት ጠላፊ ያለውን አቅም አስብ!

እና እርስዎ የአይቲ ደህንነት አቅራቢ ከሆኑ፣ ነገር ግን አስተዳዳሪዎ የእነዚህን ማስፈራሪያ ውጤቶች ሊያውቅ እንደሚችል ካላወቀ፣ ይህን ጽሁፍ ብቻ ያሳዩት።

ሰርጎ ገቦች የተጎጂውን ላፕቶፕ ወይም አገልጋይ በቀጥታ የማግኘት ህልም አላቸው። ይህን ለማድረግ በጣም ቀላል ነው፡ ጠላፊ ማድረግ የሚያስፈልገው ጥቂት ሚስጥራዊ ፋይሎችን በሲኢኦ ላፕቶፕ ላይ ማግኘት ነው።

በሆነ መንገድ እኔ ቀድሞውኑ ፃፈ ስለ PowerShell ኢምፓየር የድህረ-ምርት ጊዜ። ምን እንደሆነ እናስታውስ።

እሱ በመሠረቱ በPowerShell ላይ የተመሠረተ የመግቢያ መሞከሪያ መሳሪያ ነው፣ ከብዙ ባህሪያት መካከል፣ የተገላቢጦሽ ሼልን በቀላሉ እንዲያሄዱ ያስችልዎታል። በ ላይ የበለጠ በዝርዝር ማጥናት ይችላሉ PSE መነሻ ጣቢያ.

ትንሽ ሙከራ እናድርግ። በአማዞን ድር አገልግሎቶች ደመና ውስጥ ደህንነቱ የተጠበቀ የማልዌር መሞከሪያ አካባቢ አዘጋጅቻለሁ። የዚህን የተጋላጭነት ምሳሌ በፍጥነት እና በአስተማማኝ ሁኔታ ለማሳየት የኔን ምሳሌ መከተል ትችላለህ (እና በኢንተርፕራይዝ ፔሪሜትር ውስጥ ቫይረሶችን በማሰራት ምክንያት ላለመባረር)።

የPowerShell ኢምፓየር ኮንሶል ከከፈቱ ይህን የመሰለ ነገር ያያሉ፡-

የኢሉሲቭ ማልዌር ጀብዱዎች፣ ክፍል II፡ ሚስጥራዊ VBA ስክሪፕቶች

በመጀመሪያ የአድማጭ ሂደቱን በ Hacker ኮምፒውተርዎ ላይ ይጀምራሉ። "አድማጭ" ትዕዛዙን ያስገቡ እና "አስተናጋጅ አዘጋጅ" ን በመጠቀም የስርዓትዎን IP አድራሻ ይግለጹ. ከዚያም የአድማጭ ሂደቱን በ "አስፈፃሚ" ትዕዛዝ (ከታች) ይጀምሩ. ስለዚህ፣ በእርስዎ በኩል፣ ከርቀት ቅርፊቱ የአውታረ መረብ ግንኙነት መጠበቅ ይጀምራሉ፡-

የኢሉሲቭ ማልዌር ጀብዱዎች፣ ክፍል II፡ ሚስጥራዊ VBA ስክሪፕቶች

በሌላ በኩል የ "አስጀማሪ" ትዕዛዝ (ከዚህ በታች ይመልከቱ) በማስገባት የወኪል ኮድ መፍጠር ያስፈልግዎታል. ይህ የርቀት ወኪሉ የPowerShell ኮድ ያመነጫል። በ Base64 ውስጥ መቀመጡን እና የጭነቱን ሁለተኛ ደረጃን እንደሚወክል ልብ ይበሉ። በሌላ አገላለጽ፣ የእኔ ጃቫ ስክሪፕት ኮድ ይህን ወኪል ያለምንም ጉዳት ወደ ስክሪኑ ጽሁፍ ከማተም ይልቅ PowerShellን እንዲያሄድ ይጎትታል፣ እና የተገላቢጦሽ ሼል ለማስኬድ ከርቀት PSE አገልጋያችን ጋር ይገናኛል።

የኢሉሲቭ ማልዌር ጀብዱዎች፣ ክፍል II፡ ሚስጥራዊ VBA ስክሪፕቶች
የተገላቢጦሽ ቅርፊት አስማት. ይህ የPowerShell ኮድ ከአድማጭዬ ጋር ይገናኛል እና የርቀት ሼል ያስነሳል።

ይህንን ሙከራ ላሳይህ፣ የንፁህ ተጎጂውን ሚና ወሰድኩ እና Evil.doc ከፈትኩ፣ በዚህም ጃቫ ስክሪፕት ጀመርኩ። የመጀመሪያውን ክፍል አስታውስ? PowerShell መስኮቱ እንዳይወጣ ለመከላከል ተዋቅሯል፣ ስለዚህ ተጎጂው ምንም ያልተለመደ ነገር አያስተውለውም። ነገር ግን፣ የዊንዶውስ ተግባር አስተዳዳሪን ከከፈቱ፣ ለማንኛውም ለብዙ ሰዎች ምንም አይነት ማንቂያ የማይፈጥር የPowerShell ሂደትን ታያለህ። ምክንያቱም ልክ መደበኛ PowerShell ነው, አይደለም?

የኢሉሲቭ ማልዌር ጀብዱዎች፣ ክፍል II፡ ሚስጥራዊ VBA ስክሪፕቶች

አሁን Evil.doc ን ሲያሄዱ፣ የተደበቀ የጀርባ ሂደት PowerShell Empireን ከሚያሄደው አገልጋይ ጋር ይገናኛል። ነጭ የፔንቴስተር ጠላፊ ኮፍያዬን ለብሼ ወደ ፓወር ሼል ኢምፓየር ኮንሶል ተመለስኩ እና አሁን የርቀት ወኪሌ ንቁ መሆኑን የሚገልጽ መልእክት አይቻለሁ።

የኢሉሲቭ ማልዌር ጀብዱዎች፣ ክፍል II፡ ሚስጥራዊ VBA ስክሪፕቶች

ከዚያም በ PSE ውስጥ ሼል ለመክፈት "መስተጋብር" የሚለውን ትዕዛዝ አስገባሁ - እና እዚያ ነበር! ባጭሩ አንድ ጊዜ እራሴን ያዘጋጀሁትን የታኮ አገልጋይ ጠልፌዋለሁ።

የኢሉሲቭ ማልዌር ጀብዱዎች፣ ክፍል II፡ ሚስጥራዊ VBA ስክሪፕቶች

አሁን ያሳየሁት ነገር በእርስዎ በኩል ያን ያህል ስራ አይጠይቅም። የኢንፎርሜሽን ደህንነት እውቀትን ለማሻሻል በምሳ ዕረፍትዎ ለአንድ ወይም ለሁለት ሰአታት ይህን ሁሉ በቀላሉ ማድረግ ይችላሉ። እንዲሁም ሰርጎ ገቦች የእርስዎን የውጭ ደህንነት ዙሪያ እንዴት እንደሚሻገሩ እና ወደ ስርዓቶችዎ ውስጥ እንደሚገቡ ለመረዳት ጥሩ መንገድ ነው።

ከማንኛውም መጠላለፍ የማይገሰስ መከላከያ እንደገነባን የሚያስቡ የአይቲ አስተዳዳሪዎች ምናልባት ትምህርታዊ ሆኖ ያገኙት ይሆናል - ማለትም ከእርስዎ ጋር ለረጅም ጊዜ እንዲቀመጡ ማሳመን ከቻሉ።

ወደ እውነታው እንመለስ

እኔ እንደጠበቅኩት፣ ለአማካይ ተጠቃሚ የማይታይ እውነተኛ ጠለፋ፣ በቀላሉ የገለጽኩት ልዩነት ነው። ለቀጣዩ ህትመት የሚሆን ቁሳቁስ ለመሰብሰብ፣ ከተፈለሰፈው ምሳሌ ጋር በተመሳሳይ መንገድ የሚሰራ ናሙና በ HA ላይ መፈለግ ጀመርኩ። እና ለረጅም ጊዜ መፈለግ አላስፈለገኝም - በጣቢያው ላይ ለተመሳሳይ የጥቃት ዘዴ ብዙ አማራጮች አሉ።

በመጨረሻ HA ላይ ያገኘሁት ማልዌር በዎርድ ሰነድ ውስጥ የተካተተ VBA ስክሪፕት ነው። ማለትም፣ የሰነዱን ቅጥያ ማስመሰል እንኳን አያስፈልገኝም፣ ይህ ማልዌር በእውነት መደበኛ የሚመስል የማይክሮሶፍት ዎርድ ሰነድ ነው። ፍላጎት ካሎት፣ እኔ የተጠራውን ይህን ናሙና መርጫለሁ። rfq.doc.

ብዙ ጊዜ ተንኮል አዘል VBA ስክሪፕቶችን ከሰነድ ማውጣት እንደማትችል በፍጥነት ተማርኩ። ጠላፊዎች በ Word አብሮ በተሰራው ማክሮ መሳሪያዎች ውስጥ እንዳይታዩ ጨምቀው ይደብቋቸዋል። እሱን ለማስወገድ ልዩ መሣሪያ ያስፈልግዎታል. እንደ እድል ሆኖ አንድ ስካነር አገኘሁ OfficeMalScanner ፍራንክ ባልድዊን. አመሰግናለሁ ፍራንክ።

ይህን መሳሪያ በመጠቀም፣ በጣም የተደበቀ የVBA ኮድ ማውጣት ቻልኩ። ይህን ይመስላል።

የኢሉሲቭ ማልዌር ጀብዱዎች፣ ክፍል II፡ ሚስጥራዊ VBA ስክሪፕቶች
ማደናቀፉ የተከናወነው በእርሻቸው ባሉ ባለሙያዎች ነው። በጣም ተገረምኩ!

አጥቂዎች ኮድን በመደበቅ ረገድ ጥሩ ናቸው፣ እንደ Evil.doc ለመፍጠር እንደሞከርኩት ጥረት አይደለም። እሺ፣ በሚቀጥለው ክፍል የVBA አራሚዎቻችንን እናወጣለን፣ ወደዚህ ኮድ ትንሽ ዘልቀን እንገባለን እና ትንታኔያችንን ከ HA ውጤቶች ጋር እናነፃፅራለን።

ምንጭ: hab.com

አስተያየት ያክሉ