ಈ ಲೇಖನವು ಫೈಲ್ಲೆಸ್ ಮಾಲ್ವೇರ್ ಸರಣಿಯ ಭಾಗವಾಗಿದೆ. ಸರಣಿಯ ಎಲ್ಲಾ ಇತರ ಭಾಗಗಳು:
- ಅಡ್ವೆಂಚರ್ಸ್ ಆಫ್ ದಿ ಎಲುಸಿವ್ ಮಾಲ್ವೇರ್, ಭಾಗ II: ಹಿಡನ್ ವಿಬಿಎ ಸ್ಕ್ರಿಪ್ಟ್ಗಳು (ನಾವು ಇಲ್ಲಿದ್ದೇವೆ)
ನಾನು ಸೈಟ್ನ ಅಭಿಮಾನಿ (ಹೈಬ್ರಿಡ್ ವಿಶ್ಲೇಷಣೆ, ಇನ್ನು ಮುಂದೆ HA). ಇದು ಒಂದು ರೀತಿಯ ಮಾಲ್ವೇರ್ ಮೃಗಾಲಯವಾಗಿದ್ದು, ನೀವು ದಾಳಿ ಮಾಡದೆಯೇ ಸುರಕ್ಷಿತ ದೂರದಿಂದ ಕಾಡು "ಪರಭಕ್ಷಕ" ಗಳನ್ನು ಸುರಕ್ಷಿತವಾಗಿ ವೀಕ್ಷಿಸಬಹುದು. HA ಸುರಕ್ಷಿತ ಪರಿಸರದಲ್ಲಿ ಮಾಲ್ವೇರ್ ಅನ್ನು ರನ್ ಮಾಡುತ್ತದೆ, ಸಿಸ್ಟಮ್ ಕರೆಗಳನ್ನು ರೆಕಾರ್ಡ್ ಮಾಡುತ್ತದೆ, ರಚಿಸಿದ ಫೈಲ್ಗಳು ಮತ್ತು ಇಂಟರ್ನೆಟ್ ಟ್ರಾಫಿಕ್, ಮತ್ತು ಅದು ವಿಶ್ಲೇಷಿಸುವ ಪ್ರತಿ ಮಾದರಿಗೆ ಈ ಎಲ್ಲಾ ಫಲಿತಾಂಶಗಳನ್ನು ನಿಮಗೆ ನೀಡುತ್ತದೆ. ಈ ರೀತಿಯಾಗಿ, ಗೊಂದಲಮಯ ಕೋಡ್ ಅನ್ನು ನೀವೇ ಲೆಕ್ಕಾಚಾರ ಮಾಡಲು ನಿಮ್ಮ ಸಮಯ ಮತ್ತು ಶಕ್ತಿಯನ್ನು ವ್ಯರ್ಥ ಮಾಡಬೇಕಾಗಿಲ್ಲ, ಆದರೆ ಎಲ್ಲಾ ಹ್ಯಾಕರ್ಗಳ ಉದ್ದೇಶಗಳನ್ನು ತಕ್ಷಣವೇ ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬಹುದು.
ನನ್ನ ಗಮನ ಸೆಳೆದ HA ಉದಾಹರಣೆಗಳು ಕೋಡೆಡ್ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಅಥವಾ ವಿಷುಯಲ್ ಬೇಸಿಕ್ ಫಾರ್ ಅಪ್ಲಿಕೇಷನ್ಸ್ (VBA) ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ವರ್ಡ್ ಅಥವಾ ಎಕ್ಸೆಲ್ ಡಾಕ್ಯುಮೆಂಟ್ಗಳಲ್ಲಿ ಮ್ಯಾಕ್ರೋಗಳಾಗಿ ಎಂಬೆಡ್ ಮಾಡಲಾಗಿದ್ದು, ಫಿಶಿಂಗ್ ಇಮೇಲ್ಗಳಿಗೆ ಲಗತ್ತಿಸಲಾಗಿದೆ. ತೆರೆದಾಗ, ಈ ಮ್ಯಾಕ್ರೋಗಳು ಬಲಿಪಶುವಿನ ಕಂಪ್ಯೂಟರ್ನಲ್ಲಿ ಪವರ್ಶೆಲ್ ಸೆಶನ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತವೆ. ಹ್ಯಾಕರ್ಗಳು ಸಾಮಾನ್ಯವಾಗಿ Base64 ಎನ್ಕೋಡ್ ಮಾಡಲಾದ ಕಮಾಂಡ್ಗಳನ್ನು PowerShell ಗೆ ಕಳುಹಿಸುತ್ತಾರೆ. ಕೆಲವು ಕೀವರ್ಡ್ಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸುವ ವೆಬ್ ಫಿಲ್ಟರ್ಗಳು ಮತ್ತು ಆಂಟಿವೈರಸ್ ಸಾಫ್ಟ್ವೇರ್ ಮೂಲಕ ದಾಳಿಯನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಕಷ್ಟವಾಗುವಂತೆ ಇದನ್ನು ಮಾಡಲಾಗುತ್ತದೆ.
ಅದೃಷ್ಟವಶಾತ್, HA ಸ್ವಯಂಚಾಲಿತವಾಗಿ Base64 ಅನ್ನು ಡಿಕೋಡ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಈಗಿನಿಂದಲೇ ಎಲ್ಲವನ್ನೂ ಓದಬಲ್ಲ ಸ್ವರೂಪದಲ್ಲಿ ಪ್ರದರ್ಶಿಸುತ್ತದೆ. ಮೂಲಭೂತವಾಗಿ, ಈ ಸ್ಕ್ರಿಪ್ಟ್ಗಳು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ ಎಂಬುದರ ಕುರಿತು ನೀವು ಗಮನಹರಿಸಬೇಕಾಗಿಲ್ಲ ಏಕೆಂದರೆ ನೀವು HA ನ ಅನುಗುಣವಾದ ವಿಭಾಗದಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಪ್ರಕ್ರಿಯೆಗಳಿಗಾಗಿ ಪೂರ್ಣ ಆಜ್ಞೆಯ ಔಟ್ಪುಟ್ ಅನ್ನು ನೋಡಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ. ಕೆಳಗಿನ ಉದಾಹರಣೆಯನ್ನು ನೋಡಿ:
ಹೈಬ್ರಿಡ್ ವಿಶ್ಲೇಷಣೆಯು ಪವರ್ಶೆಲ್ಗೆ ಕಳುಹಿಸಲಾದ Base64 ಎನ್ಕೋಡ್ ಮಾಡಿದ ಆಜ್ಞೆಗಳನ್ನು ಪ್ರತಿಬಂಧಿಸುತ್ತದೆ:
... ತದನಂತರ ಅವುಗಳನ್ನು ನಿಮಗಾಗಿ ಡಿಕೋಡ್ ಮಾಡುತ್ತದೆ. #ಮಾಂತ್ರಿಕವಾಗಿ
В ಪವರ್ಶೆಲ್ ಸೆಷನ್ ಅನ್ನು ಚಲಾಯಿಸಲು ನಾನು ನನ್ನದೇ ಆದ ಸ್ವಲ್ಪ ಅಸ್ಪಷ್ಟವಾದ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕಂಟೇನರ್ ಅನ್ನು ರಚಿಸಿದ್ದೇನೆ. ನನ್ನ ಸ್ಕ್ರಿಪ್ಟ್, ಅನೇಕ ಪವರ್ಶೆಲ್-ಆಧಾರಿತ ಮಾಲ್ವೇರ್ನಂತೆ, ನಂತರ ರಿಮೋಟ್ ವೆಬ್ಸೈಟ್ನಿಂದ ಕೆಳಗಿನ ಪವರ್ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುತ್ತದೆ. ನಂತರ, ಉದಾಹರಣೆಯಾಗಿ, ನಾನು ನಿರುಪದ್ರವ PS ಅನ್ನು ಲೋಡ್ ಮಾಡಿದ್ದೇನೆ ಅದು ಪರದೆಯ ಮೇಲೆ ಸಂದೇಶವನ್ನು ಮುದ್ರಿಸುತ್ತದೆ. ಆದರೆ ಸಮಯ ಬದಲಾಗುತ್ತಿದೆ, ಮತ್ತು ಈಗ ನಾನು ಸನ್ನಿವೇಶವನ್ನು ಸಂಕೀರ್ಣಗೊಳಿಸಲು ಪ್ರಸ್ತಾಪಿಸುತ್ತೇನೆ.
ಪವರ್ಶೆಲ್ ಎಂಪೈರ್ ಮತ್ತು ರಿವರ್ಸ್ ಶೆಲ್
ಕ್ಲಾಸಿಕ್ ಪರಿಧಿಯ ರಕ್ಷಣೆಗಳು ಮತ್ತು ಆಂಟಿವೈರಸ್ಗಳನ್ನು ಹೇಗೆ (ತುಲನಾತ್ಮಕವಾಗಿ) ಸುಲಭವಾಗಿ ಹ್ಯಾಕರ್ ಬೈಪಾಸ್ ಮಾಡಬಹುದು ಎಂಬುದನ್ನು ತೋರಿಸುವುದು ಈ ವ್ಯಾಯಾಮದ ಗುರಿಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ. ನನ್ನಂತೆ ಪ್ರೋಗ್ರಾಮಿಂಗ್ ಕೌಶಲ್ಯವಿಲ್ಲದ ಐಟಿ ಬ್ಲಾಗರ್ ಅದನ್ನು ಒಂದೆರಡು ಸಂಜೆ ಮಾಡಬಹುದು (ಸಂಪೂರ್ಣವಾಗಿ ಪತ್ತೆಹಚ್ಚಲಾಗಿಲ್ಲ, FUD), ಇದರಲ್ಲಿ ಆಸಕ್ತಿ ಹೊಂದಿರುವ ಯುವ ಹ್ಯಾಕರ್ನ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಊಹಿಸಿ!
ಮತ್ತು ನೀವು ಐಟಿ ಭದ್ರತಾ ಪೂರೈಕೆದಾರರಾಗಿದ್ದರೆ, ಆದರೆ ಈ ಬೆದರಿಕೆಗಳ ಸಂಭವನೀಯ ಪರಿಣಾಮಗಳ ಬಗ್ಗೆ ನಿಮ್ಮ ವ್ಯವಸ್ಥಾಪಕರಿಗೆ ತಿಳಿದಿಲ್ಲದಿದ್ದರೆ, ಅವರಿಗೆ ಈ ಲೇಖನವನ್ನು ತೋರಿಸಿ.
ಹ್ಯಾಕರ್ಗಳು ಬಲಿಪಶುವಿನ ಲ್ಯಾಪ್ಟಾಪ್ ಅಥವಾ ಸರ್ವರ್ಗೆ ನೇರ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುವ ಕನಸು ಕಾಣುತ್ತಾರೆ. ಇದನ್ನು ಮಾಡಲು ತುಂಬಾ ಸರಳವಾಗಿದೆ: CEO ನ ಲ್ಯಾಪ್ಟಾಪ್ನಲ್ಲಿ ಕೆಲವು ಗೌಪ್ಯ ಫೈಲ್ಗಳನ್ನು ಪಡೆಯುವುದು ಹ್ಯಾಕರ್ ಮಾಡಬೇಕಾಗಿರುವುದು.
ಹೇಗಾದರೂ ನಾನು ಈಗಾಗಲೇ ಪವರ್ಶೆಲ್ ಎಂಪೈರ್ ಪೋಸ್ಟ್-ಪ್ರೊಡಕ್ಷನ್ ರನ್ಟೈಮ್ ಬಗ್ಗೆ. ಅದು ಏನೆಂದು ನೆನಪಿಟ್ಟುಕೊಳ್ಳೋಣ.
ಇದು ಮೂಲಭೂತವಾಗಿ ಪವರ್ಶೆಲ್-ಆಧಾರಿತ ನುಗ್ಗುವ ಪರೀಕ್ಷಾ ಸಾಧನವಾಗಿದ್ದು, ಇತರ ಹಲವು ವೈಶಿಷ್ಟ್ಯಗಳ ನಡುವೆ, ರಿವರ್ಸ್ ಶೆಲ್ ಅನ್ನು ಸುಲಭವಾಗಿ ಚಲಾಯಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ನೀವು ಅದನ್ನು ಹೆಚ್ಚು ವಿವರವಾಗಿ ಅಧ್ಯಯನ ಮಾಡಬಹುದು .
ಒಂದು ಸಣ್ಣ ಪ್ರಯೋಗ ಮಾಡೋಣ. ನಾನು Amazon ವೆಬ್ ಸೇವೆಗಳ ಕ್ಲೌಡ್ನಲ್ಲಿ ಸುರಕ್ಷಿತ ಮಾಲ್ವೇರ್ ಪರೀಕ್ಷಾ ಪರಿಸರವನ್ನು ಹೊಂದಿಸಿದ್ದೇನೆ. ಈ ದುರ್ಬಲತೆಯ ಕೆಲಸದ ಉದಾಹರಣೆಯನ್ನು ತ್ವರಿತವಾಗಿ ಮತ್ತು ಸುರಕ್ಷಿತವಾಗಿ ತೋರಿಸಲು ನೀವು ನನ್ನ ಉದಾಹರಣೆಯನ್ನು ಅನುಸರಿಸಬಹುದು (ಮತ್ತು ಎಂಟರ್ಪ್ರೈಸ್ ಪರಿಧಿಯೊಳಗೆ ಚಾಲನೆಯಲ್ಲಿರುವ ವೈರಸ್ಗಳಿಗಾಗಿ ವಜಾ ಮಾಡಬೇಡಿ).
ನೀವು ಪವರ್ಶೆಲ್ ಎಂಪೈರ್ ಕನ್ಸೋಲ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಿದರೆ, ನೀವು ಈ ರೀತಿಯದನ್ನು ನೋಡುತ್ತೀರಿ:
ಮೊದಲು ನೀವು ನಿಮ್ಮ ಹ್ಯಾಕರ್ ಕಂಪ್ಯೂಟರ್ನಲ್ಲಿ ಆಲಿಸುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಾರಂಭಿಸಿ. "ಕೇಳುಗ" ಆಜ್ಞೆಯನ್ನು ನಮೂದಿಸಿ, ಮತ್ತು "ಸೆಟ್ ಹೋಸ್ಟ್" ಅನ್ನು ಬಳಸಿಕೊಂಡು ನಿಮ್ಮ ಸಿಸ್ಟಮ್ನ IP ವಿಳಾಸವನ್ನು ಸೂಚಿಸಿ. ನಂತರ "ಕಾರ್ಯಗತಗೊಳಿಸಿ" ಆಜ್ಞೆಯೊಂದಿಗೆ ಕೇಳುಗ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪ್ರಾರಂಭಿಸಿ (ಕೆಳಗೆ). ಹೀಗಾಗಿ, ನಿಮ್ಮ ಕಡೆಯಿಂದ, ರಿಮೋಟ್ ಶೆಲ್ನಿಂದ ನೆಟ್ವರ್ಕ್ ಸಂಪರ್ಕಕ್ಕಾಗಿ ನೀವು ಕಾಯಲು ಪ್ರಾರಂಭಿಸುತ್ತೀರಿ:
ಇನ್ನೊಂದು ಬದಿಗೆ, ನೀವು "ಲಾಂಚರ್" ಆಜ್ಞೆಯನ್ನು ನಮೂದಿಸುವ ಮೂಲಕ ಏಜೆಂಟ್ ಕೋಡ್ ಅನ್ನು ರಚಿಸಬೇಕಾಗುತ್ತದೆ (ಕೆಳಗೆ ನೋಡಿ). ಇದು ರಿಮೋಟ್ ಏಜೆಂಟ್ಗಾಗಿ ಪವರ್ಶೆಲ್ ಕೋಡ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ. ಇದನ್ನು Base64 ರಲ್ಲಿ ಎನ್ಕೋಡ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಪೇಲೋಡ್ನ ಎರಡನೇ ಹಂತವನ್ನು ಪ್ರತಿನಿಧಿಸುತ್ತದೆ ಎಂಬುದನ್ನು ಗಮನಿಸಿ. ಬೇರೆ ರೀತಿಯಲ್ಲಿ ಹೇಳುವುದಾದರೆ, ನನ್ನ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಈಗ ಪವರ್ಶೆಲ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಈ ಏಜೆಂಟ್ ಅನ್ನು ಪರದೆಯ ಮೇಲೆ ನಿರುಪದ್ರವವಾಗಿ ಮುದ್ರಿಸುವ ಬದಲು ಎಳೆಯುತ್ತದೆ ಮತ್ತು ರಿವರ್ಸ್ ಶೆಲ್ ಅನ್ನು ಚಲಾಯಿಸಲು ನಮ್ಮ ರಿಮೋಟ್ PSE ಸರ್ವರ್ಗೆ ಸಂಪರ್ಕಪಡಿಸುತ್ತದೆ.
ರಿವರ್ಸ್ ಶೆಲ್ನ ಮ್ಯಾಜಿಕ್. ಈ ಕೋಡೆಡ್ ಪವರ್ಶೆಲ್ ಆಜ್ಞೆಯು ನನ್ನ ಕೇಳುಗರಿಗೆ ಸಂಪರ್ಕಗೊಳ್ಳುತ್ತದೆ ಮತ್ತು ರಿಮೋಟ್ ಶೆಲ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ.
ಈ ಪ್ರಯೋಗವನ್ನು ನಿಮಗೆ ತೋರಿಸಲು, ನಾನು ಮುಗ್ಧ ಬಲಿಪಶುವಿನ ಪಾತ್ರವನ್ನು ವಹಿಸಿಕೊಂಡೆ ಮತ್ತು Evil.doc ಅನ್ನು ತೆರೆಯುತ್ತೇನೆ, ಆ ಮೂಲಕ ನಮ್ಮ JavaScript ಅನ್ನು ಪ್ರಾರಂಭಿಸಿದೆ. ಮೊದಲ ಭಾಗ ನೆನಪಿದೆಯೇ? ಪವರ್ಶೆಲ್ ಅನ್ನು ಅದರ ವಿಂಡೋ ಪಾಪ್ ಅಪ್ ಆಗುವುದನ್ನು ತಡೆಯಲು ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ, ಆದ್ದರಿಂದ ಬಲಿಪಶು ಅಸಾಮಾನ್ಯವಾದುದನ್ನು ಗಮನಿಸುವುದಿಲ್ಲ. ಆದಾಗ್ಯೂ, ನೀವು ವಿಂಡೋಸ್ ಟಾಸ್ಕ್ ಮ್ಯಾನೇಜರ್ ಅನ್ನು ತೆರೆದರೆ, ನೀವು ಹಿನ್ನೆಲೆ ಪವರ್ಶೆಲ್ ಪ್ರಕ್ರಿಯೆಯನ್ನು ನೋಡುತ್ತೀರಿ ಅದು ಹೇಗಾದರೂ ಹೆಚ್ಚಿನ ಜನರಿಗೆ ಯಾವುದೇ ಎಚ್ಚರಿಕೆಯನ್ನು ಉಂಟುಮಾಡುವುದಿಲ್ಲ. ಏಕೆಂದರೆ ಇದು ಕೇವಲ ಸಾಮಾನ್ಯ ಪವರ್ಶೆಲ್ ಆಗಿದೆ, ಅಲ್ಲವೇ?
ಈಗ ನೀವು Evil.doc ಅನ್ನು ರನ್ ಮಾಡಿದಾಗ, ಪವರ್ಶೆಲ್ ಎಂಪೈರ್ ಚಾಲನೆಯಲ್ಲಿರುವ ಸರ್ವರ್ಗೆ ಗುಪ್ತ ಹಿನ್ನೆಲೆ ಪ್ರಕ್ರಿಯೆಯು ಸಂಪರ್ಕಗೊಳ್ಳುತ್ತದೆ. ನನ್ನ ಬಿಳಿ ಪೆಂಟೆಸ್ಟರ್ ಹ್ಯಾಕರ್ ಹ್ಯಾಟ್ ಅನ್ನು ಹಾಕಿಕೊಂಡು, ನಾನು ಪವರ್ಶೆಲ್ ಎಂಪೈರ್ ಕನ್ಸೋಲ್ಗೆ ಹಿಂತಿರುಗಿದೆ ಮತ್ತು ಈಗ ನನ್ನ ರಿಮೋಟ್ ಏಜೆಂಟ್ ಸಕ್ರಿಯವಾಗಿದೆ ಎಂಬ ಸಂದೇಶವನ್ನು ನೋಡಿದೆ.
ನಾನು ನಂತರ PSE ನಲ್ಲಿ ಶೆಲ್ ತೆರೆಯಲು "ಇಂಟರಾಕ್ಟ್" ಆಜ್ಞೆಯನ್ನು ನಮೂದಿಸಿದೆ - ಮತ್ತು ನಾನು ಅಲ್ಲಿದ್ದೆ! ಸಂಕ್ಷಿಪ್ತವಾಗಿ ಹೇಳುವುದಾದರೆ, ನಾನೇ ಒಮ್ಮೆ ಸ್ಥಾಪಿಸಿದ ಟ್ಯಾಕೋ ಸರ್ವರ್ ಅನ್ನು ನಾನು ಹ್ಯಾಕ್ ಮಾಡಿದ್ದೇನೆ.
ನಾನು ಈಗ ಪ್ರದರ್ಶಿಸಿದ್ದಕ್ಕೆ ನಿಮ್ಮ ಕಡೆಯಿಂದ ಹೆಚ್ಚಿನ ಕೆಲಸ ಅಗತ್ಯವಿಲ್ಲ. ನಿಮ್ಮ ಮಾಹಿತಿ ಭದ್ರತಾ ಜ್ಞಾನವನ್ನು ಸುಧಾರಿಸಲು ನೀವು ಒಂದು ಅಥವಾ ಎರಡು ಗಂಟೆಗಳ ಕಾಲ ನಿಮ್ಮ ಊಟದ ವಿರಾಮದ ಸಮಯದಲ್ಲಿ ಎಲ್ಲವನ್ನೂ ಸುಲಭವಾಗಿ ಮಾಡಬಹುದು. ಹ್ಯಾಕರ್ಗಳು ನಿಮ್ಮ ಬಾಹ್ಯ ಭದ್ರತಾ ಪರಿಧಿಯನ್ನು ಹೇಗೆ ಬೈಪಾಸ್ ಮಾಡುತ್ತಿದ್ದಾರೆ ಮತ್ತು ನಿಮ್ಮ ಸಿಸ್ಟಂಗಳಲ್ಲಿ ಹೇಗೆ ಪ್ರವೇಶಿಸುತ್ತಿದ್ದಾರೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಇದು ಉತ್ತಮ ಮಾರ್ಗವಾಗಿದೆ.
ಯಾವುದೇ ಒಳನುಗ್ಗುವಿಕೆಯ ವಿರುದ್ಧ ತೂರಲಾಗದ ರಕ್ಷಣೆಯನ್ನು ನಿರ್ಮಿಸಿದ್ದೇವೆ ಎಂದು ಭಾವಿಸುವ ಐಟಿ ವ್ಯವಸ್ಥಾಪಕರು ಬಹುಶಃ ಅದನ್ನು ಶೈಕ್ಷಣಿಕವಾಗಿಯೂ ಕಂಡುಕೊಳ್ಳುತ್ತಾರೆ - ಅಂದರೆ, ನಿಮ್ಮೊಂದಿಗೆ ಸಾಕಷ್ಟು ಸಮಯ ಕುಳಿತುಕೊಳ್ಳಲು ನೀವು ಅವರಿಗೆ ಮನವರಿಕೆ ಮಾಡಿದರೆ.
ವಾಸ್ತವಕ್ಕೆ ಹಿಂತಿರುಗಿ ನೋಡೋಣ
ನಾನು ನಿರೀಕ್ಷಿಸಿದಂತೆ, ನಿಜವಾದ ಹ್ಯಾಕ್, ಸರಾಸರಿ ಬಳಕೆದಾರರಿಗೆ ಅಗೋಚರವಾಗಿರುತ್ತದೆ, ಇದು ನಾನು ವಿವರಿಸಿದ ವ್ಯತ್ಯಾಸವಾಗಿದೆ. ಮುಂದಿನ ಪ್ರಕಟಣೆಗಾಗಿ ವಸ್ತುಗಳನ್ನು ಸಂಗ್ರಹಿಸಲು, ನಾನು ಆವಿಷ್ಕರಿಸಿದ ಉದಾಹರಣೆಯಂತೆಯೇ ಕಾರ್ಯನಿರ್ವಹಿಸುವ HA ನಲ್ಲಿ ಮಾದರಿಯನ್ನು ಹುಡುಕಲು ಪ್ರಾರಂಭಿಸಿದೆ. ಮತ್ತು ನಾನು ಅದನ್ನು ದೀರ್ಘಕಾಲ ನೋಡಬೇಕಾಗಿಲ್ಲ - ಸೈಟ್ನಲ್ಲಿ ಇದೇ ರೀತಿಯ ದಾಳಿ ತಂತ್ರಕ್ಕೆ ಹಲವು ಆಯ್ಕೆಗಳಿವೆ.
HA ನಲ್ಲಿ ನಾನು ಅಂತಿಮವಾಗಿ ಕಂಡುಕೊಂಡ ಮಾಲ್ವೇರ್ VBA ಸ್ಕ್ರಿಪ್ಟ್ ಆಗಿದ್ದು ಅದನ್ನು ವರ್ಡ್ ಡಾಕ್ಯುಮೆಂಟ್ನಲ್ಲಿ ಎಂಬೆಡ್ ಮಾಡಲಾಗಿದೆ. ಅಂದರೆ, ನಾನು ಡಾಕ್ ವಿಸ್ತರಣೆಯನ್ನು ನಕಲಿ ಮಾಡುವ ಅಗತ್ಯವಿಲ್ಲ, ಈ ಮಾಲ್ವೇರ್ ನಿಜವಾಗಿಯೂ ಸಾಮಾನ್ಯವಾದ ಮೈಕ್ರೋಸಾಫ್ಟ್ ವರ್ಡ್ ಡಾಕ್ಯುಮೆಂಟ್ ಆಗಿದೆ. ನಿಮಗೆ ಆಸಕ್ತಿ ಇದ್ದರೆ, ನಾನು ಈ ಮಾದರಿಯನ್ನು ಆಯ್ಕೆಮಾಡಿದೆ .
ನೀವು ಸಾಮಾನ್ಯವಾಗಿ ದುರುದ್ದೇಶಪೂರಿತ VBA ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಡಾಕ್ಯುಮೆಂಟ್ನಿಂದ ನೇರವಾಗಿ ಎಳೆಯಲು ಸಾಧ್ಯವಿಲ್ಲ ಎಂದು ನಾನು ಬೇಗನೆ ಕಲಿತಿದ್ದೇನೆ. ಹ್ಯಾಕರ್ಗಳು ಅವುಗಳನ್ನು ಸಂಕುಚಿತಗೊಳಿಸುತ್ತಾರೆ ಮತ್ತು ಮರೆಮಾಡುತ್ತಾರೆ ಆದ್ದರಿಂದ ಅವುಗಳು ವರ್ಡ್ನ ಅಂತರ್ನಿರ್ಮಿತ ಮ್ಯಾಕ್ರೋ ಉಪಕರಣಗಳಲ್ಲಿ ಗೋಚರಿಸುವುದಿಲ್ಲ. ಅದನ್ನು ತೆಗೆದುಹಾಕಲು ನಿಮಗೆ ವಿಶೇಷ ಸಾಧನ ಬೇಕಾಗುತ್ತದೆ. ಅದೃಷ್ಟವಶಾತ್ ನಾನು ಸ್ಕ್ಯಾನರ್ ಅನ್ನು ನೋಡಿದೆ ಫ್ರಾಂಕ್ ಬಾಲ್ಡ್ವಿನ್. ಧನ್ಯವಾದಗಳು, ಫ್ರಾಂಕ್.
ಈ ಉಪಕರಣವನ್ನು ಬಳಸಿಕೊಂಡು, ನಾನು ಹೆಚ್ಚು ಅಸ್ಪಷ್ಟವಾದ VBA ಕೋಡ್ ಅನ್ನು ಹೊರತೆಗೆಯಲು ಸಾಧ್ಯವಾಯಿತು. ಇದು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
ಅಸ್ಪಷ್ಟತೆಯನ್ನು ಅವರ ಕ್ಷೇತ್ರದಲ್ಲಿ ವೃತ್ತಿಪರರು ಮಾಡಿದ್ದಾರೆ. ನಾನು ಪ್ರಭಾವಿತನಾಗಿದ್ದೆ!
ಆಕ್ರಮಣಕಾರರು ಕೋಡ್ ಅನ್ನು ಮಬ್ಬುಗೊಳಿಸುವುದರಲ್ಲಿ ನಿಜವಾಗಿಯೂ ಉತ್ತಮರು, Evil.doc ಅನ್ನು ರಚಿಸುವಲ್ಲಿ ನನ್ನ ಪ್ರಯತ್ನಗಳಂತೆ ಅಲ್ಲ. ಸರಿ, ಮುಂದಿನ ಭಾಗದಲ್ಲಿ ನಾವು ನಮ್ಮ VBA ಡೀಬಗ್ಗರ್ಗಳನ್ನು ಹೊರತೆಗೆಯುತ್ತೇವೆ, ಈ ಕೋಡ್ಗೆ ಸ್ವಲ್ಪ ಆಳವಾಗಿ ಧುಮುಕುತ್ತೇವೆ ಮತ್ತು ನಮ್ಮ ವಿಶ್ಲೇಷಣೆಯನ್ನು HA ಫಲಿತಾಂಶಗಳೊಂದಿಗೆ ಹೋಲಿಕೆ ಮಾಡುತ್ತೇವೆ.
ಮೂಲ: www.habr.com