ይህ መጣጥፍ ፋይል አልባ ማልዌር ተከታታይ አካል ነው። ሁሉም የተከታታዩ ክፍሎች፡-
-
የኢሉሲቭ ማልቫሪ ጀብዱዎች፣ ክፍል አንድ - የኢሉሲቭ ማልዌር ጀብዱዎች፣ ክፍል II፡ የተደበቁ VBA ስክሪፕቶች (እኛ እዚህ ነን)
የጣቢያው አድናቂ ነኝ
ትኩረቴን የሳቡት የHA ምሳሌዎች ኮድ የተደረገ ጃቫ ስክሪፕት ወይም ቪዥዋል ቤዚክ ለመተግበሪያዎች (VBA) ስክሪፕቶችን በ Word ወይም Excel ሰነዶች ውስጥ እንደ ማክሮ የተከተቱ እና ከአስጋሪ ኢሜይሎች ጋር ተያይዘዋል። ሲከፈት፣ እነዚህ ማክሮዎች በተጠቂው ኮምፒውተር ላይ የPowerShell ክፍለ ጊዜን ይጀምራሉ። ጠላፊዎች በተለምዶ Base64 ኮድ የተደረገባቸው የትዕዛዝ ዥረት ወደ PowerShell ይልካሉ። ይህ ሁሉ የሚደረገው ጥቃቱን በድር ማጣሪያዎች እና ለአንዳንድ ቁልፍ ቃላት ምላሽ በሚሰጡ የጸረ-ቫይረስ ሶፍትዌሮች ለመለየት አስቸጋሪ ለማድረግ ነው።
እንደ እድል ሆኖ, HA Base64 ን በራስ-ሰር መፍታት እና ሁሉንም ነገር በሚነበብ ቅርጸት ወዲያውኑ ያሳያል። በመሰረቱ፣ እነዚህ ስክሪፕቶች እንዴት እንደሚሰሩ ላይ ማተኮር የለብዎትም ምክንያቱም የሂደቱን ሙሉ የትዕዛዝ ውጤት በተዛማጁ የHA ክፍል ውስጥ ማየት ይችላሉ። ከታች ያለውን ምሳሌ ይመልከቱ፡-
ድብልቅ ትንተና ወደ PowerShell የተላኩ የBase64 ኮድ ትዕዛዞችን ያጠፋል፡-
... እና ከዚያ ለእነሱ ዲኮድ ያደርጋቸው። #በአስማት
В
PowerShell ኢምፓየር እና የተገላቢጦሽ ሼል
የዚህ መልመጃ አንዱ ዓላማ ጠላፊ እንዴት (በአንፃራዊነት) እንዴት በቀላሉ ክላሲክ ፔሪሜትር መከላከያዎችን እና ፀረ-ቫይረስን ማለፍ እንደሚችል ማሳየት ነው። እንደ እኔ የፕሮግራም ችሎታ የሌለው የአይቲ ጦማሪ በሁለት ምሽቶች ውስጥ ማድረግ ከቻለ
እና እርስዎ የአይቲ ደህንነት አቅራቢ ከሆኑ፣ ነገር ግን አስተዳዳሪዎ የእነዚህን ማስፈራሪያ ውጤቶች ሊያውቅ እንደሚችል ካላወቀ፣ ይህን ጽሁፍ ብቻ ያሳዩት።
ሰርጎ ገቦች የተጎጂውን ላፕቶፕ ወይም አገልጋይ በቀጥታ የማግኘት ህልም አላቸው። ይህን ለማድረግ በጣም ቀላል ነው፡ ጠላፊ ማድረግ የሚያስፈልገው ጥቂት ሚስጥራዊ ፋይሎችን በሲኢኦ ላፕቶፕ ላይ ማግኘት ነው።
በሆነ መንገድ እኔ ቀድሞውኑ
እሱ በመሠረቱ በPowerShell ላይ የተመሠረተ የመግቢያ መሞከሪያ መሳሪያ ነው፣ ከብዙ ባህሪያት መካከል፣ የተገላቢጦሽ ሼልን በቀላሉ እንዲያሄዱ ያስችልዎታል። በ ላይ የበለጠ በዝርዝር ማጥናት ይችላሉ
ትንሽ ሙከራ እናድርግ። በአማዞን ድር አገልግሎቶች ደመና ውስጥ ደህንነቱ የተጠበቀ የማልዌር መሞከሪያ አካባቢ አዘጋጅቻለሁ። የዚህን የተጋላጭነት ምሳሌ በፍጥነት እና በአስተማማኝ ሁኔታ ለማሳየት የኔን ምሳሌ መከተል ትችላለህ (እና በኢንተርፕራይዝ ፔሪሜትር ውስጥ ቫይረሶችን በማሰራት ምክንያት ላለመባረር)።
የPowerShell ኢምፓየር ኮንሶል ከከፈቱ ይህን የመሰለ ነገር ያያሉ፡-
በመጀመሪያ የአድማጭ ሂደቱን በ Hacker ኮምፒውተርዎ ላይ ይጀምራሉ። "አድማጭ" ትዕዛዙን ያስገቡ እና "አስተናጋጅ አዘጋጅ" ን በመጠቀም የስርዓትዎን IP አድራሻ ይግለጹ. ከዚያም የአድማጭ ሂደቱን በ "አስፈፃሚ" ትዕዛዝ (ከታች) ይጀምሩ. ስለዚህ፣ በእርስዎ በኩል፣ ከርቀት ቅርፊቱ የአውታረ መረብ ግንኙነት መጠበቅ ይጀምራሉ፡-
በሌላ በኩል የ "አስጀማሪ" ትዕዛዝ (ከዚህ በታች ይመልከቱ) በማስገባት የወኪል ኮድ መፍጠር ያስፈልግዎታል. ይህ የርቀት ወኪሉ የPowerShell ኮድ ያመነጫል። በ Base64 ውስጥ መቀመጡን እና የጭነቱን ሁለተኛ ደረጃን እንደሚወክል ልብ ይበሉ። በሌላ አገላለጽ፣ የእኔ ጃቫ ስክሪፕት ኮድ ይህን ወኪል ያለምንም ጉዳት ወደ ስክሪኑ ጽሁፍ ከማተም ይልቅ PowerShellን እንዲያሄድ ይጎትታል፣ እና የተገላቢጦሽ ሼል ለማስኬድ ከርቀት PSE አገልጋያችን ጋር ይገናኛል።
የተገላቢጦሽ ቅርፊት አስማት. ይህ የPowerShell ኮድ ከአድማጭዬ ጋር ይገናኛል እና የርቀት ሼል ያስነሳል።
ይህንን ሙከራ ላሳይህ፣ የንፁህ ተጎጂውን ሚና ወሰድኩ እና Evil.doc ከፈትኩ፣ በዚህም ጃቫ ስክሪፕት ጀመርኩ። የመጀመሪያውን ክፍል አስታውስ? PowerShell መስኮቱ እንዳይወጣ ለመከላከል ተዋቅሯል፣ ስለዚህ ተጎጂው ምንም ያልተለመደ ነገር አያስተውለውም። ነገር ግን፣ የዊንዶውስ ተግባር አስተዳዳሪን ከከፈቱ፣ ለማንኛውም ለብዙ ሰዎች ምንም አይነት ማንቂያ የማይፈጥር የPowerShell ሂደትን ታያለህ። ምክንያቱም ልክ መደበኛ PowerShell ነው, አይደለም?
አሁን Evil.doc ን ሲያሄዱ፣ የተደበቀ የጀርባ ሂደት PowerShell Empireን ከሚያሄደው አገልጋይ ጋር ይገናኛል። ነጭ የፔንቴስተር ጠላፊ ኮፍያዬን ለብሼ ወደ ፓወር ሼል ኢምፓየር ኮንሶል ተመለስኩ እና አሁን የርቀት ወኪሌ ንቁ መሆኑን የሚገልጽ መልእክት አይቻለሁ።
ከዚያም በ PSE ውስጥ ሼል ለመክፈት "መስተጋብር" የሚለውን ትዕዛዝ አስገባሁ - እና እዚያ ነበር! ባጭሩ አንድ ጊዜ እራሴን ያዘጋጀሁትን የታኮ አገልጋይ ጠልፌዋለሁ።
አሁን ያሳየሁት ነገር በእርስዎ በኩል ያን ያህል ስራ አይጠይቅም። የኢንፎርሜሽን ደህንነት እውቀትን ለማሻሻል በምሳ ዕረፍትዎ ለአንድ ወይም ለሁለት ሰአታት ይህን ሁሉ በቀላሉ ማድረግ ይችላሉ። እንዲሁም ሰርጎ ገቦች የእርስዎን የውጭ ደህንነት ዙሪያ እንዴት እንደሚሻገሩ እና ወደ ስርዓቶችዎ ውስጥ እንደሚገቡ ለመረዳት ጥሩ መንገድ ነው።
ከማንኛውም መጠላለፍ የማይገሰስ መከላከያ እንደገነባን የሚያስቡ የአይቲ አስተዳዳሪዎች ምናልባት ትምህርታዊ ሆኖ ያገኙት ይሆናል - ማለትም ከእርስዎ ጋር ለረጅም ጊዜ እንዲቀመጡ ማሳመን ከቻሉ።
ወደ እውነታው እንመለስ
እኔ እንደጠበቅኩት፣ ለአማካይ ተጠቃሚ የማይታይ እውነተኛ ጠለፋ፣ በቀላሉ የገለጽኩት ልዩነት ነው። ለቀጣዩ ህትመት የሚሆን ቁሳቁስ ለመሰብሰብ፣ ከተፈለሰፈው ምሳሌ ጋር በተመሳሳይ መንገድ የሚሰራ ናሙና በ HA ላይ መፈለግ ጀመርኩ። እና ለረጅም ጊዜ መፈለግ አላስፈለገኝም - በጣቢያው ላይ ለተመሳሳይ የጥቃት ዘዴ ብዙ አማራጮች አሉ።
በመጨረሻ HA ላይ ያገኘሁት ማልዌር በዎርድ ሰነድ ውስጥ የተካተተ VBA ስክሪፕት ነው። ማለትም፣ የሰነዱን ቅጥያ ማስመሰል እንኳን አያስፈልገኝም፣ ይህ ማልዌር በእውነት መደበኛ የሚመስል የማይክሮሶፍት ዎርድ ሰነድ ነው። ፍላጎት ካሎት፣ እኔ የተጠራውን ይህን ናሙና መርጫለሁ።
ብዙ ጊዜ ተንኮል አዘል VBA ስክሪፕቶችን ከሰነድ ማውጣት እንደማትችል በፍጥነት ተማርኩ። ጠላፊዎች በ Word አብሮ በተሰራው ማክሮ መሳሪያዎች ውስጥ እንዳይታዩ ጨምቀው ይደብቋቸዋል። እሱን ለማስወገድ ልዩ መሣሪያ ያስፈልግዎታል. እንደ እድል ሆኖ አንድ ስካነር አገኘሁ
ይህን መሳሪያ በመጠቀም፣ በጣም የተደበቀ የVBA ኮድ ማውጣት ቻልኩ። ይህን ይመስላል።
ማደናቀፉ የተከናወነው በእርሻቸው ባሉ ባለሙያዎች ነው። በጣም ተገረምኩ!
አጥቂዎች ኮድን በመደበቅ ረገድ ጥሩ ናቸው፣ እንደ Evil.doc ለመፍጠር እንደሞከርኩት ጥረት አይደለም። እሺ፣ በሚቀጥለው ክፍል የVBA አራሚዎቻችንን እናወጣለን፣ ወደዚህ ኮድ ትንሽ ዘልቀን እንገባለን እና ትንታኔያችንን ከ HA ውጤቶች ጋር እናነፃፅራለን።
ምንጭ: hab.com