د دې مقالې سره موږ د ناوړه مالویر په اړه د خپرونو لړۍ پیل کوو. د فایل بې هیک کولو پروګرامونه، چې د فایل پرته هیک کولو پروګرامونو په نوم هم پیژندل کیږي، معمولا په وینډوز سیسټمونو کې PowerShell کاروي ترڅو په خاموشۍ سره د ارزښتناکو مینځپانګو لټون او استخراج لپاره کمانډونه پرمخ بوځي. د ناوړه فایلونو پرته د هیکر فعالیت کشف کول یو ستونزمن کار دی، ځکه چې ... انټي ویروسونه او ډیری نور کشف سیسټمونه د لاسلیک تحلیل پراساس کار کوي. مګر ښه خبر دا دی چې دا ډول سافټویر شتون لري. د مثال په ډول، ، د فایل سیسټمونو کې د ناوړه فعالیت کشف کولو وړ.
کله چې ما د لومړي ځل لپاره د بداس هیکرانو موضوع څیړنه پیل کړه، ، مګر یوازې د قرباني په کمپیوټر کې وسیلې او سافټویر شتون لري ، زه نه پوهیږم چې دا به ډیر ژر د برید مشهور میتود شي. امنیتي مسلکي چې دا یو رجحان کیږي، او - د دې تایید. له همدې امله، ما پریکړه وکړه چې د دې موضوع په اړه د خپرونو لړۍ جوړه کړم.
لوی او ځواکمن پاور شیل
ما مخکې د دې نظرونو ځینې په اړه لیکلي دي ، مګر نور د نظري مفهوم پراساس. وروسته زه راورسیدم ، چیرې چې تاسو کولی شئ په ځنګل کې د مالویر "نیول شوي" نمونې ومومئ. ما پریکړه وکړه چې د دې سایټ کارولو هڅه وکړم ترڅو د فایل بې مالویر نمونې ومومئ. او زه بریالی شوم. په هرصورت، که تاسو غواړئ خپل د مالویر ښکار سفر ته لاړ شئ، تاسو باید د دې سایټ لخوا تایید کړئ نو دوی پوه شي چې تاسو د سپینې خولۍ متخصص په توګه کار کوئ. د امنیتي بلاګر په توګه، ما دا پرته له پوښتنې تیر کړ. زه ډاډه یم چې تاسو هم کولی شئ.
پخپله د نمونو سربیره، په سایټ کې تاسو کولی شئ وګورئ چې دا پروګرامونه څه کوي. د هایبرډ تحلیل مالویر په خپل سینڈ باکس کې چلوي او د سیسټم تلیفونونه څارنه کوي، د پروسې چلولو او د شبکې فعالیت، او د شکمن متن تارونه استخراجوي. د بائنریونو او نورو اجرا وړ فایلونو لپاره، د بیلګې په توګه چیرې چې تاسو حتی د ریښتیني لوړې کچې کوډ ته هم نه ګورئ ، د هایبرډ تحلیل پریکړه کوي چې ایا سافټویر ناوړه دی یا یوازې د دې د چلولو فعالیت پراساس شکمن دی. او له هغې وروسته نمونه لا دمخه ارزول کیږي.
د PowerShell او نورو نمونو سکریپټونو په حالت کې (Visual Basic، JavaScript، او نور)، زه کولی شم پخپله کوډ وګورم. د مثال په توګه، زه د دې PowerShell مثال سره مخ شوم:
تاسو کولی شئ د موندلو څخه مخنیوي لپاره په بیس 64 کوډ کولو کې پاور شیل هم چلولی شئ. د غیر متقابل او پټ پیرامیټونو کارولو یادونه وکړئ.
که تاسو زما پوسټونه په ګډوډۍ کې لوستلي وي ، نو تاسو پوهیږئ چې -e اختیار مشخص کوي چې مینځپانګه base64 کوډ شوې ده. په هرصورت، د هایبرډ تحلیل هم د هرڅه بیرته کوډ کولو سره پدې کې مرسته کوي. که تاسو غواړئ د بیس 64 پاور شیل (له دې وروسته د PS په نوم یادیږي) د کوډ کولو هڅه وکړئ ، تاسو اړتیا لرئ دا کمانډ پرمخ وړئ:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))ژور لاړ شه
ما د دې میتود په کارولو سره زموږ د PS سکریپټ ډیکوډ کړی ، لاندې د برنامې متن دی ، که څه هم زما لخوا یو څه بدل شوی:
په یاد ولرئ چې سکریپټ د سپتمبر 4، 2017 نیټې پورې تړلی و او د سیشن کوکیز لیږدول شوی.
ما د دې ډول برید په اړه لیکلي ، په کوم کې چې بیس 64 کوډ شوی سکریپټ پخپله بار کوي ورک د بل سایټ څخه مالویر، د .Net Framework کتابتون د WebClient څیز په کارولو سره د درنو پورته کولو لپاره.
دا د څه لپاره دی؟
د وینډوز پیښو لاګونو یا فایروالونو سکین کولو لپاره د امنیت سافټویر سکین کولو لپاره، بیس 64 کوډ کول د "ویب کلینټ" تار د ساده متن نمونې لخوا کشف کیدو مخه نیسي ترڅو د داسې ویب غوښتنې کولو څخه ساتنه وکړي. او له هغه وخته چې د مالویر ټول "شر" زموږ پاور شیل ته ډاونلوډ او لیږدول کیږي، نو دا طریقه موږ ته اجازه راکوي چې په بشپړه توګه د کشف مخه ونیسو. یا بلکه، دا هغه څه دي چې ما په لومړي سر کې فکر کاوه.
دا معلومه شوه چې د وینډوز پاور شیل پرمختللي لاګنګ فعال شوي (زما مقاله وګورئ) ، تاسو به وکولی شئ د پیښې لاګ کې بار شوي لاین وګورئ. زه داسې یم ) زه فکر کوم چې مایکروسافټ باید د ډیفالټ لخوا د ننوتلو دا کچه فعاله کړي. له همدې امله ، د پراخ شوي لاګنګ فعالولو سره ، موږ به د وینډوز پیښې لاګ کې د PS سکریپټ څخه د بشپړ ډاونلوډ غوښتنه وګورو د مثال په اساس چې موږ پورته بحث وکړ. له همدې امله، دا د فعالولو لپاره معنی لري، تاسو موافق نه یاست؟
راځئ چې اضافي سناریوګانې اضافه کړو
هیکرز په هوښیارۍ سره د مایکروسافټ دفتر میکرو کې د پاور شیل بریدونه پټوي چې په Visual Basic او نورو سکریپټینګ ژبو کې لیکل شوي. نظر دا دی چې قرباني یو پیغام ترلاسه کوي، د بیلګې په توګه د تحویلي خدماتو څخه، د .doc په بڼه کې د ضمیمه راپور سره. تاسو دا سند خلاص کړئ چې میکرو لري، او دا پخپله د ناوړه PowerShell په پیل کولو پای ته رسیږي.
ډیری وختونه د بصری اساسی سکریپټ پخپله مبهم دی نو دا په آزاده توګه د انټي ویروس او نورو مالویر سکینرونو څخه ډډه کوي. د پورتني روح سره ، ما پریکړه وکړه چې پورتني پاورشیل په جاواسکریپټ کې د تمرین په توګه کوډ کړم. لاندې زما د کار پایلې دي:
مغشوش شوی جاواسکریپټ زموږ پاور شیل پټوي. ریښتیني هیکران دا یو یا دوه ځله کوي.
دا یو بل تخنیک دی چې ما د ویب شاوخوا تیریدل لیدلي دي: د کوډ شوي PowerShell چلولو لپاره د Wscript.Shell کارول. د لارې په توګه، جاواسکریپټ پخپله دی د مالویر تحویل. د وینډوز ډیری نسخې جوړ شوي دي ، کوم چې پخپله JS چلولی شي.
زموږ په قضیه کې، ناوړه JS سکریپټ د .doc.js توسیع سره د فایل په توګه سرایت شوی. وینډوز به عموما یوازې لومړی ضمیمه وښیې، نو دا به قرباني ته د Word سند په توګه ښکاره شي.
د JS نښه یوازې د سکرول په نښه کې ښکاري. دا د حیرانتیا خبره نده چې ډیری خلک به دا ضمیمه خلاص کړي فکر کوي چې دا د کلمې سند دی.
زما په مثال کې، ما د خپل ویب پاڼې څخه سکریپټ ډاونلوډ کولو لپاره پورته PowerShell بدل کړ. د ریموټ PS سکریپټ یوازې "Evil Malware" چاپ کوي. لکه څنګه چې تاسو لیدلی شئ، هغه هیڅ بد نه دی. البته، ریښتیني هیکران لیوالتیا لري چې لپ ټاپ یا سرور ته لاسرسی ومومي، ووایه، د کمانډ شیل له لارې. په راتلونکې مقاله کې، زه به تاسو ته وښیم چې دا څنګه د PowerShell امپراتورۍ په کارولو سره ترسره کړئ.
زه امید لرم چې د لومړۍ تعارفي مقالې لپاره موږ موضوع ته ډیر ژور نه غورځو. اوس زه به تاسو ته اجازه درکړم چې ساه واخلئ، او بل ځل به موږ د غیر ضروري ابتدايي کلمو یا تیاری پرته د فایل بې مالویر په کارولو سره د بریدونو اصلي مثالونو ته ګورو.
سرچینه: www.habr.com