ಈ ಲೇಖನವು ಫೈಲ್ಲೆಸ್ ಮಾಲ್ವೇರ್ ಸರಣಿಯ ಭಾಗವಾಗಿದೆ. ಸರಣಿಯ ಎಲ್ಲಾ ಇತರ ಭಾಗಗಳು:
- ದಿ ಅಡ್ವೆಂಚರ್ಸ್ ಆಫ್ ದಿ ಎಲುಸಿವ್ ಮಾಲ್ವೇರ್, ಭಾಗ IV: DDE ಮತ್ತು ವರ್ಡ್ ಡಾಕ್ಯುಮೆಂಟ್ ಫೀಲ್ಡ್ಸ್ (ನಾವು ಇಲ್ಲಿದ್ದೇವೆ)
ಈ ಲೇಖನದಲ್ಲಿ, ನಾನು ಸಿಸ್ಟಂನಲ್ಲಿ ಪಿನ್ ಮಾಡುವುದರೊಂದಿಗೆ ಇನ್ನೂ ಹೆಚ್ಚು ಸಂಕೀರ್ಣವಾದ ಬಹು-ಹಂತದ ಫೈಲ್ಲೆಸ್ ದಾಳಿಯ ಸನ್ನಿವೇಶಕ್ಕೆ ಧುಮುಕಲಿದ್ದೇನೆ. ಆದರೆ ನಂತರ ನಾನು ನಂಬಲಾಗದಷ್ಟು ಸರಳವಾದ, ಯಾವುದೇ ಕೋಡ್-ಕೋಡ್ ದಾಳಿಯನ್ನು ಕಂಡಿದ್ದೇನೆ - ಯಾವುದೇ ವರ್ಡ್ ಅಥವಾ ಎಕ್ಸೆಲ್ ಮ್ಯಾಕ್ರೋಗಳ ಅಗತ್ಯವಿಲ್ಲ! ಮತ್ತು ಇದು ಈ ಲೇಖನಗಳ ಸರಣಿಯ ಆಧಾರವಾಗಿರುವ ನನ್ನ ಮೂಲ ಊಹೆಯನ್ನು ಹೆಚ್ಚು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಸಾಬೀತುಪಡಿಸುತ್ತದೆ: ಯಾವುದೇ ಸಂಸ್ಥೆಯ ಹೊರ ಪರಿಧಿಯನ್ನು ಮುರಿಯುವುದು ಕಷ್ಟದ ಕೆಲಸವಲ್ಲ.
ನಾನು ವಿವರಿಸುವ ಮೊದಲ ದಾಳಿಯು ಮೈಕ್ರೋಸಾಫ್ಟ್ ವರ್ಡ್ ದುರ್ಬಲತೆಯನ್ನು ಆಧರಿಸಿದೆ ಹಳತಾಗಿದೆ (ಡಿಡಿಇ). ಅವಳು ಆಗಲೇ ಇದ್ದಳು . ಎರಡನೆಯದು ಮೈಕ್ರೋಸಾಫ್ಟ್ COM ಮತ್ತು ವಸ್ತು ವರ್ಗಾವಣೆ ಸಾಮರ್ಥ್ಯಗಳಲ್ಲಿ ಹೆಚ್ಚು ಸಾಮಾನ್ಯ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುತ್ತದೆ.
DDE ಯೊಂದಿಗೆ ಭವಿಷ್ಯಕ್ಕೆ ಹಿಂತಿರುಗಿ
ಬೇರೆ ಯಾರಿಗಾದರೂ ಡಿಡಿಇ ನೆನಪಿದೆಯೇ? ಬಹುಶಃ ಅನೇಕ ಅಲ್ಲ. ಇದು ಮೊದಲನೆಯದು ಡೇಟಾ ವರ್ಗಾವಣೆ ಮಾಡಲು ಅಪ್ಲಿಕೇಶನ್ಗಳು ಮತ್ತು ಸಾಧನಗಳನ್ನು ಅನುಮತಿಸುವ ಇಂಟರ್-ಪ್ರೊಸೆಸ್ ಸಂವಹನ ಪ್ರೋಟೋಕಾಲ್ಗಳು.
ನಾನು ಟೆಲಿಕಾಂ ಉಪಕರಣಗಳನ್ನು ಪರೀಕ್ಷಿಸಲು ಮತ್ತು ಪರೀಕ್ಷಿಸಲು ಬಳಸುತ್ತಿದ್ದರಿಂದ ನಾನು ಅದರೊಂದಿಗೆ ಸ್ವಲ್ಪ ಪರಿಚಿತನಾಗಿದ್ದೇನೆ. ಆ ಸಮಯದಲ್ಲಿ, DDE, ಉದಾಹರಣೆಗೆ, ಕಾಲ್ ಸೆಂಟರ್ ಆಪರೇಟರ್ಗಳಿಗೆ ಕಾಲರ್ ಐಡಿಯನ್ನು CRM ಅಪ್ಲಿಕೇಶನ್ಗೆ ವರ್ಗಾಯಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು, ಅದು ಅಂತಿಮವಾಗಿ ಗ್ರಾಹಕರ ಕಾರ್ಡ್ ಅನ್ನು ತೆರೆಯಿತು. ಇದನ್ನು ಮಾಡಲು, ನಿಮ್ಮ ಫೋನ್ ಮತ್ತು ನಿಮ್ಮ ಕಂಪ್ಯೂಟರ್ ನಡುವೆ ನೀವು RS-232 ಕೇಬಲ್ ಅನ್ನು ಸಂಪರ್ಕಿಸಬೇಕು. ಆ ದಿನಗಳು!
ಅದು ಬದಲಾದಂತೆ, ಮೈಕ್ರೋಸಾಫ್ಟ್ ವರ್ಡ್ ಇನ್ನೂ ಡಿಡಿಇ.
ಕೋಡ್ ಇಲ್ಲದೆಯೇ ಈ ದಾಳಿಯನ್ನು ಪರಿಣಾಮಕಾರಿಯಾಗಿ ಮಾಡುವುದು ನೀವು DDE ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಪ್ರವೇಶಿಸಬಹುದು ನೇರವಾಗಿ ವರ್ಡ್ ಡಾಕ್ಯುಮೆಂಟ್ನಲ್ಲಿ ಸ್ವಯಂಚಾಲಿತ ಕ್ಷೇತ್ರಗಳಿಂದ (ಇದಕ್ಕಾಗಿ ಸೆನ್ಸ್ಪೋಸ್ಟ್ಗೆ ಹ್ಯಾಟ್ಸ್ ಆಫ್ ಅದರ ಬಗ್ಗೆ).
ಕ್ಷೇತ್ರ ಸಂಕೇತಗಳು ನಿಮ್ಮ ಡಾಕ್ಯುಮೆಂಟ್ಗೆ ಡೈನಾಮಿಕ್ ಪಠ್ಯ ಮತ್ತು ಸ್ವಲ್ಪ ಪ್ರೋಗ್ರಾಮಿಂಗ್ ಅನ್ನು ಸೇರಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ಮತ್ತೊಂದು ಪುರಾತನ MS ವರ್ಡ್ ವೈಶಿಷ್ಟ್ಯವಾಗಿದೆ. ಅತ್ಯಂತ ಸ್ಪಷ್ಟವಾದ ಉದಾಹರಣೆಯೆಂದರೆ ಪುಟ ಸಂಖ್ಯೆ ಕ್ಷೇತ್ರ, ಇದನ್ನು {PAGE *MERGEFORMAT} ಮೌಲ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು ಅಡಿಟಿಪ್ಪಣಿಗೆ ಸೇರಿಸಬಹುದು. ಇದು ಪುಟ ಸಂಖ್ಯೆಗಳನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಉತ್ಪಾದಿಸಲು ಅನುಮತಿಸುತ್ತದೆ.
ಸುಳಿವು: ಇನ್ಸರ್ಟ್ ಅಡಿಯಲ್ಲಿ ನೀವು ಫೀಲ್ಡ್ ಮೆನು ಐಟಂ ಅನ್ನು ಕಾಣಬಹುದು.
ನಾನು ವರ್ಡ್ನಲ್ಲಿ ಈ ವೈಶಿಷ್ಟ್ಯವನ್ನು ಮೊದಲು ಕಂಡುಹಿಡಿದಾಗ, ನಾನು ಆಶ್ಚರ್ಯಚಕಿತನಾಗಿದ್ದೆ ಎಂದು ನನಗೆ ನೆನಪಿದೆ. ಮತ್ತು ಪ್ಯಾಚ್ ಅದನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವವರೆಗೆ, ವರ್ಡ್ ಇನ್ನೂ DDE ಕ್ಷೇತ್ರಗಳ ಆಯ್ಕೆಯನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ. ಡಿಡಿಇ ವರ್ಡ್ ಅನ್ನು ಅಪ್ಲಿಕೇಶನ್ನೊಂದಿಗೆ ನೇರವಾಗಿ ಸಂಪರ್ಕಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ, ಇದರಿಂದಾಗಿ ಅದು ಪ್ರೋಗ್ರಾಂನ ಔಟ್ಪುಟ್ ಅನ್ನು ಡಾಕ್ಯುಮೆಂಟ್ಗೆ ರವಾನಿಸಬಹುದು. ಆ ಸಮಯದಲ್ಲಿ ಇದು ಅತ್ಯಂತ ಕಿರಿಯ ತಂತ್ರಜ್ಞಾನವಾಗಿತ್ತು - ಬಾಹ್ಯ ಅಪ್ಲಿಕೇಶನ್ಗಳೊಂದಿಗೆ ಡೇಟಾ ವಿನಿಮಯಕ್ಕೆ ಬೆಂಬಲ. ಇದನ್ನು ನಂತರ COM ತಂತ್ರಜ್ಞಾನವಾಗಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಯಿತು, ಅದನ್ನು ನಾವು ಕೆಳಗೆ ನೋಡುತ್ತೇವೆ.
ಅಂತಿಮವಾಗಿ, ಈ ಡಿಡಿಇ ಅಪ್ಲಿಕೇಶನ್ ಕಮಾಂಡ್ ಶೆಲ್ ಆಗಿರಬಹುದು ಎಂದು ಹ್ಯಾಕರ್ಗಳು ಅರಿತುಕೊಂಡರು, ಅದು ಸಹಜವಾಗಿ ಪವರ್ಶೆಲ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಿತು ಮತ್ತು ಅಲ್ಲಿಂದ ಹ್ಯಾಕರ್ಗಳು ತಮಗೆ ಬೇಕಾದುದನ್ನು ಮಾಡಬಹುದು.
ಕೆಳಗಿನ ಸ್ಕ್ರೀನ್ಶಾಟ್ ನಾನು ಈ ರಹಸ್ಯ ತಂತ್ರವನ್ನು ಹೇಗೆ ಬಳಸಿದ್ದೇನೆ ಎಂಬುದನ್ನು ತೋರಿಸುತ್ತದೆ: DDE ಕ್ಷೇತ್ರದಿಂದ ಒಂದು ಸಣ್ಣ PowerShell ಸ್ಕ್ರಿಪ್ಟ್ (ಇನ್ನು ಮುಂದೆ PS ಎಂದು ಉಲ್ಲೇಖಿಸಲಾಗುತ್ತದೆ) ಮತ್ತೊಂದು PS ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಲೋಡ್ ಮಾಡುತ್ತದೆ, ಇದು ದಾಳಿಯ ಎರಡನೇ ಹಂತವನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ.
ಅಂತರ್ನಿರ್ಮಿತ DDEAUTO ಕ್ಷೇತ್ರವು ಶೆಲ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಲು ರಹಸ್ಯವಾಗಿ ಪ್ರಯತ್ನಿಸುತ್ತಿದೆ ಎಂಬ ಪಾಪ್-ಅಪ್ ಎಚ್ಚರಿಕೆಗಾಗಿ Windows ಗೆ ಧನ್ಯವಾದಗಳು
ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಆದ್ಯತೆಯ ವಿಧಾನವೆಂದರೆ DDEAUTO ಕ್ಷೇತ್ರದೊಂದಿಗೆ ರೂಪಾಂತರವನ್ನು ಬಳಸುವುದು, ಅದು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ರನ್ ಮಾಡುತ್ತದೆ ತೆರೆಯುವಾಗ ವರ್ಡ್ ಡಾಕ್ಯುಮೆಂಟ್.
ಇದರ ಬಗ್ಗೆ ನಾವು ಏನು ಮಾಡಬಹುದು ಎಂದು ಯೋಚಿಸೋಣ.
ಅನನುಭವಿ ಹ್ಯಾಕರ್ ಆಗಿ, ನೀವು, ಉದಾಹರಣೆಗೆ, ನೀವು ಫೆಡರಲ್ ಟ್ಯಾಕ್ಸ್ ಸೇವೆಯಿಂದ ಬಂದವರೆಂದು ನಟಿಸುವ ಫಿಶಿಂಗ್ ಇಮೇಲ್ ಅನ್ನು ಕಳುಹಿಸಬಹುದು ಮತ್ತು ಮೊದಲ ಹಂತಕ್ಕೆ PS ಸ್ಕ್ರಿಪ್ಟ್ನೊಂದಿಗೆ DDEAUTO ಕ್ಷೇತ್ರವನ್ನು ಎಂಬೆಡ್ ಮಾಡಬಹುದು (ಒಂದು ಡ್ರಾಪರ್, ಮೂಲಭೂತವಾಗಿ). ಮತ್ತು ನಾನು ಮಾಡಿದಂತೆ ನೀವು ಮ್ಯಾಕ್ರೋಗಳ ಯಾವುದೇ ನೈಜ ಕೋಡಿಂಗ್ ಅನ್ನು ಸಹ ಮಾಡಬೇಕಾಗಿಲ್ಲ
ಬಲಿಪಶು ನಿಮ್ಮ ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ತೆರೆಯುತ್ತಾನೆ, ಎಂಬೆಡೆಡ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಹ್ಯಾಕರ್ ಕಂಪ್ಯೂಟರ್ ಒಳಗೆ ಕೊನೆಗೊಳ್ಳುತ್ತಾನೆ. ನನ್ನ ಸಂದರ್ಭದಲ್ಲಿ, ರಿಮೋಟ್ PS ಸ್ಕ್ರಿಪ್ಟ್ ಕೇವಲ ಸಂದೇಶವನ್ನು ಮುದ್ರಿಸುತ್ತದೆ, ಆದರೆ ಇದು ರಿಮೋಟ್ ಶೆಲ್ ಪ್ರವೇಶವನ್ನು ಒದಗಿಸುವ PS ಎಂಪೈರ್ ಕ್ಲೈಂಟ್ ಅನ್ನು ಸುಲಭವಾಗಿ ಪ್ರಾರಂಭಿಸಬಹುದು.
ಮತ್ತು ಬಲಿಪಶು ಏನಾದರೂ ಹೇಳುವ ಮೊದಲು, ಹ್ಯಾಕರ್ಗಳು ಹಳ್ಳಿಯ ಶ್ರೀಮಂತ ಹದಿಹರೆಯದವರಾಗಿ ಹೊರಹೊಮ್ಮುತ್ತಾರೆ.
ಶೆಲ್ ಅನ್ನು ಸ್ವಲ್ಪವೂ ಕೋಡಿಂಗ್ ಇಲ್ಲದೆ ಪ್ರಾರಂಭಿಸಲಾಯಿತು. ಒಂದು ಮಗು ಕೂಡ ಇದನ್ನು ಮಾಡಬಹುದು!
ಡಿಡಿಇ ಮತ್ತು ಜಾಗ
ಮೈಕ್ರೋಸಾಫ್ಟ್ ನಂತರ ವರ್ಡ್ನಲ್ಲಿ DDE ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿತು, ಆದರೆ ವೈಶಿಷ್ಟ್ಯವನ್ನು ಸರಳವಾಗಿ ದುರ್ಬಳಕೆ ಮಾಡಲಾಗಿದೆ ಎಂದು ಕಂಪನಿಯು ಹೇಳುವ ಮೊದಲು ಅಲ್ಲ. ಏನನ್ನೂ ಬದಲಾಯಿಸಲು ಅವರ ಹಿಂಜರಿಕೆಯು ಅರ್ಥವಾಗುವಂತಹದ್ದಾಗಿದೆ. ನನ್ನ ಅನುಭವದಲ್ಲಿ, ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ತೆರೆಯುವಾಗ ಕ್ಷೇತ್ರಗಳನ್ನು ನವೀಕರಿಸುವುದನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದ ಉದಾಹರಣೆಯನ್ನು ನಾನು ನೋಡಿದ್ದೇನೆ, ಆದರೆ ವರ್ಡ್ ಮ್ಯಾಕ್ರೋಗಳನ್ನು ಐಟಿಯಿಂದ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ (ಆದರೆ ಅಧಿಸೂಚನೆಯನ್ನು ತೋರಿಸುತ್ತದೆ). ಮೂಲಕ, ನೀವು ವರ್ಡ್ ಸೆಟ್ಟಿಂಗ್ಗಳ ವಿಭಾಗದಲ್ಲಿ ಅನುಗುಣವಾದ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಕಾಣಬಹುದು.
ಆದಾಗ್ಯೂ, ಕ್ಷೇತ್ರ ನವೀಕರಣವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದ್ದರೂ ಸಹ, ಮೇಲಿನ DDE ಯಂತೆಯೇ ಅಳಿಸಲಾದ ಡೇಟಾಗೆ ಕ್ಷೇತ್ರವು ಪ್ರವೇಶವನ್ನು ವಿನಂತಿಸಿದಾಗ Microsoft Word ಹೆಚ್ಚುವರಿಯಾಗಿ ಬಳಕೆದಾರರಿಗೆ ತಿಳಿಸುತ್ತದೆ. ಮೈಕ್ರೋಸಾಫ್ಟ್ ನಿಮಗೆ ನಿಜವಾಗಿಯೂ ಎಚ್ಚರಿಕೆ ನೀಡುತ್ತಿದೆ.
ಆದರೆ ಹೆಚ್ಚಾಗಿ, ಬಳಕೆದಾರರು ಇನ್ನೂ ಈ ಎಚ್ಚರಿಕೆಯನ್ನು ನಿರ್ಲಕ್ಷಿಸುತ್ತಾರೆ ಮತ್ತು ವರ್ಡ್ನಲ್ಲಿ ಕ್ಷೇತ್ರಗಳ ನವೀಕರಣವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತಾರೆ. ಅಪಾಯಕಾರಿ DDE ವೈಶಿಷ್ಟ್ಯವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿದ್ದಕ್ಕಾಗಿ ಮೈಕ್ರೋಸಾಫ್ಟ್ಗೆ ಧನ್ಯವಾದ ಸಲ್ಲಿಸಲು ಇದು ಅಪರೂಪದ ಅವಕಾಶಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ.
ಇಂದು ಪ್ಯಾಚ್ ಮಾಡದ ವಿಂಡೋಸ್ ಸಿಸ್ಟಮ್ ಅನ್ನು ಕಂಡುಹಿಡಿಯುವುದು ಎಷ್ಟು ಕಷ್ಟ?
ಈ ಪರೀಕ್ಷೆಗಾಗಿ, ನಾನು ವರ್ಚುವಲ್ ಡೆಸ್ಕ್ಟಾಪ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು AWS ಕಾರ್ಯಸ್ಥಳಗಳನ್ನು ಬಳಸಿದ್ದೇನೆ. ಈ ರೀತಿಯಲ್ಲಿ ನಾನು ಪ್ಯಾಚ್ ಮಾಡದ MS ಆಫೀಸ್ ವರ್ಚುವಲ್ ಯಂತ್ರವನ್ನು ಪಡೆದುಕೊಂಡಿದ್ದೇನೆ ಅದು DDEAUTO ಕ್ಷೇತ್ರವನ್ನು ಸೇರಿಸಲು ನನಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು. ಅಗತ್ಯ ಭದ್ರತಾ ಪ್ಯಾಚ್ಗಳನ್ನು ಇನ್ನೂ ಸ್ಥಾಪಿಸದ ಇತರ ಕಂಪನಿಗಳನ್ನು ಇದೇ ರೀತಿಯಲ್ಲಿ ನೀವು ಕಾಣಬಹುದು ಎಂಬುದರಲ್ಲಿ ನನಗೆ ಸಂದೇಹವಿಲ್ಲ.
ವಸ್ತುಗಳ ರಹಸ್ಯ
ನೀವು ಈ ಪ್ಯಾಚ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿದ್ದರೂ ಸಹ, MS ಆಫೀಸ್ನಲ್ಲಿ ಇತರ ಭದ್ರತಾ ರಂಧ್ರಗಳಿವೆ, ಅದು ನಾವು Word ನೊಂದಿಗೆ ಮಾಡಿದಂತೆಯೇ ಹ್ಯಾಕರ್ಗಳನ್ನು ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ. ಮುಂದಿನ ಸನ್ನಿವೇಶದಲ್ಲಿ ನಾವು ಕಲಿಯುತ್ತೇವೆ ಯಾವುದೇ ಕೋಡ್ ಬರೆಯದೆಯೇ ಫಿಶಿಂಗ್ ದಾಳಿಗೆ ಎಕ್ಸೆಲ್ ಅನ್ನು ಬೆಟ್ ಆಗಿ ಬಳಸಿ.
ಈ ಸನ್ನಿವೇಶವನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು, ಮೈಕ್ರೋಸಾಫ್ಟ್ ಕಾಂಪೊನೆಂಟ್ ಆಬ್ಜೆಕ್ಟ್ ಮಾಡೆಲ್ ಅನ್ನು ನೆನಪಿಟ್ಟುಕೊಳ್ಳೋಣ, ಅಥವಾ ಸಂಕ್ಷಿಪ್ತವಾಗಿ COM (ಕಾಂಪೊನೆಂಟ್ ಆಬ್ಜೆಕ್ಟ್ ಮಾಡೆಲ್).
COM 1990 ರ ದಶಕದಿಂದಲೂ ಇದೆ, ಮತ್ತು RPC ರಿಮೋಟ್ ಕಾರ್ಯವಿಧಾನದ ಕರೆಗಳ ಆಧಾರದ ಮೇಲೆ "ಭಾಷೆ-ತಟಸ್ಥ, ವಸ್ತು-ಆಧಾರಿತ ಘಟಕ ಮಾದರಿ" ಎಂದು ವ್ಯಾಖ್ಯಾನಿಸಲಾಗಿದೆ. COM ಪರಿಭಾಷೆಯ ಸಾಮಾನ್ಯ ತಿಳುವಳಿಕೆಗಾಗಿ, ಓದಿ StackOverflow ನಲ್ಲಿ.
ಮೂಲಭೂತವಾಗಿ, ನೀವು COM ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಎಕ್ಸೆಲ್ ಅಥವಾ ವರ್ಡ್ ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಅಥವಾ ರನ್ ಮಾಡುವ ಇತರ ಬೈನರಿ ಫೈಲ್ ಎಂದು ಯೋಚಿಸಬಹುದು.
COM ಅಪ್ಲಿಕೇಶನ್ ಅನ್ನು ಸಹ ಚಲಾಯಿಸಬಹುದು ಎಂದು ಅದು ತಿರುಗುತ್ತದೆ ಸನ್ನಿವೇಶದಲ್ಲಿ - ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಅಥವಾ ವಿಬಿಸ್ಕ್ರಿಪ್ಟ್. ತಾಂತ್ರಿಕವಾಗಿ ಇದನ್ನು ಕರೆಯಲಾಗುತ್ತದೆ ಸ್ಕ್ರಿಪ್ಟ್ಲೆಟ್. ನೀವು Windows ನಲ್ಲಿ ಫೈಲ್ಗಳಿಗಾಗಿ .sct ವಿಸ್ತರಣೆಯನ್ನು ನೋಡಿರಬಹುದು - ಇದು ಸ್ಕ್ರಿಪ್ಟ್ಲೆಟ್ಗಳಿಗೆ ಅಧಿಕೃತ ವಿಸ್ತರಣೆಯಾಗಿದೆ. ಮೂಲಭೂತವಾಗಿ, ಅವುಗಳು XML ರ್ಯಾಪರ್ನಲ್ಲಿ ಸುತ್ತುವ ಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್:
<?XML version="1.0"?>
<scriptlet>
<registration
description="test"
progid="test"
version="1.00"
classid="{BBBB4444-0000-0000-0000-0000FAADACDC}"
remotable="true">
</registration>
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("cmd /k powershell -c Write-Host You have been scripted!");
]]>
</script>
</scriptlet>
ಹ್ಯಾಕರ್ಗಳು ಮತ್ತು ಪೆಂಟೆಸ್ಟರ್ಗಳು ವಿಂಡೋಸ್ನಲ್ಲಿ COM ಆಬ್ಜೆಕ್ಟ್ಗಳನ್ನು ಸ್ವೀಕರಿಸುವ ಪ್ರತ್ಯೇಕ ಉಪಯುಕ್ತತೆಗಳು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ಗಳು ಮತ್ತು ಅದರ ಪ್ರಕಾರ, ಸ್ಕ್ರಿಪ್ಟ್ಲೆಟ್ಗಳು ಸಹ ಇವೆ ಎಂದು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ.
ನಾನು pubprn ಎಂದು ಕರೆಯಲ್ಪಡುವ VBS ನಲ್ಲಿ ಬರೆದ ವಿಂಡೋಸ್ ಉಪಯುಕ್ತತೆಗೆ ಸ್ಕ್ರಿಪ್ಟ್ಲೆಟ್ ಅನ್ನು ರವಾನಿಸಬಹುದು. ಇದು C:Windowssystem32Printing_Admin_Scripts ನ ಆಳದಲ್ಲಿದೆ. ಮೂಲಕ, ವಸ್ತುಗಳನ್ನು ನಿಯತಾಂಕಗಳಾಗಿ ಸ್ವೀಕರಿಸುವ ಇತರ ವಿಂಡೋಸ್ ಉಪಯುಕ್ತತೆಗಳಿವೆ. ಮೊದಲು ಈ ಉದಾಹರಣೆಯನ್ನು ನೋಡೋಣ.
ಮುದ್ರಣ ಸ್ಕ್ರಿಪ್ಟ್ನಿಂದಲೂ ಶೆಲ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಬಹುದು ಎಂಬುದು ಸಹಜ. ಮೈಕ್ರೋಸಾಫ್ಟ್ ಹೋಗಿ!
ಪರೀಕ್ಷೆಯಾಗಿ, ನಾನು ಸರಳ ರಿಮೋಟ್ ಸ್ಕ್ರಿಪ್ಟ್ಲೆಟ್ ಅನ್ನು ರಚಿಸಿದ್ದೇನೆ ಅದು ಶೆಲ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ ಮತ್ತು ತಮಾಷೆಯ ಸಂದೇಶವನ್ನು ಮುದ್ರಿಸುತ್ತದೆ, "ನೀವು ಈಗಲೇ ಸ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ್ದೀರಿ!" ಮೂಲಭೂತವಾಗಿ, pubprn ಒಂದು ಸ್ಕ್ರಿಪ್ಟ್ಲೆಟ್ ಆಬ್ಜೆಕ್ಟ್ ಅನ್ನು ಸ್ಥಾಪಿಸುತ್ತದೆ, VBScript ಕೋಡ್ ಅನ್ನು ಹೊದಿಕೆಯನ್ನು ಚಲಾಯಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಈ ವಿಧಾನವು ನಿಮ್ಮ ಸಿಸ್ಟಂನಲ್ಲಿ ನುಸುಳಲು ಮತ್ತು ಮರೆಮಾಡಲು ಬಯಸುವ ಹ್ಯಾಕರ್ಗಳಿಗೆ ಸ್ಪಷ್ಟ ಪ್ರಯೋಜನವನ್ನು ಒದಗಿಸುತ್ತದೆ.
ಮುಂದಿನ ಪೋಸ್ಟ್ನಲ್ಲಿ, ಎಕ್ಸೆಲ್ ಸ್ಪ್ರೆಡ್ಶೀಟ್ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಹ್ಯಾಕರ್ಗಳು COM ಸ್ಕ್ರಿಪ್ಟ್ಲೆಟ್ಗಳನ್ನು ಹೇಗೆ ಬಳಸಿಕೊಳ್ಳಬಹುದು ಎಂಬುದನ್ನು ನಾನು ವಿವರಿಸುತ್ತೇನೆ.
ನಿಮ್ಮ ಮನೆಕೆಲಸಕ್ಕಾಗಿ, ಒಮ್ಮೆ ನೋಡಿ ಡರ್ಬಿಕಾನ್ 2016 ರಿಂದ, ಹ್ಯಾಕರ್ಗಳು ಸ್ಕ್ರಿಪ್ಟ್ಲೆಟ್ಗಳನ್ನು ಹೇಗೆ ಬಳಸುತ್ತಾರೆ ಎಂಬುದನ್ನು ನಿಖರವಾಗಿ ವಿವರಿಸುತ್ತದೆ. ಮತ್ತು ಓದಿದೆ ಸ್ಕ್ರಿಪ್ಟ್ಲೆಟ್ಗಳು ಮತ್ತು ಕೆಲವು ರೀತಿಯ ಮಾನಿಕರ್ ಬಗ್ಗೆ.
ಮೂಲ: www.habr.com