دا مقاله د فایل نه مالویر لړۍ برخه ده. د لړۍ نورې ټولې برخې:
- د الوزیو مالویر سفرونه، دویمه برخه: پټ VBA سکریپټونه (موږ دلته یو)
زه د سایټ مینه وال یم (هایبرډ تحلیل، وروسته له دې HA). دا د مالویر ژوبڼ یو ډول دی چیرې چې تاسو کولی شئ پرته له برید څخه خوندي فاصله څخه په خوندي ډول وحشي "شرایط" وګورئ. HA په خوندي چاپیریال کې مالویر چلوي، د سیسټم زنګونه ثبتوي، رامینځته شوي فایلونه او انټرنیټ ترافیک، او تاسو ته دا ټولې پایلې د هرې نمونې لپاره درکوي چې دا تحلیل کوي. پدې توګه ، تاسو اړتیا نلرئ خپل وخت او انرژي ضایع کړئ هڅه وکړئ د ګډوډي کوډ پخپله ومومئ ، مګر سمدلاسه د هیکرانو ټول نیتونه درک کولی شئ.
د HA مثالونه چې زما پام یې ځان ته اړولی د غوښتنلیکونو لپاره کوډ شوي جاوا سکریپټ یا بصري اساسی (VBA) سکریپټونه کاروي چې په Word یا Excel اسنادو کې د میکرو په توګه ځای پرځای شوي او د فشینګ بریښنالیکونو سره وصل شوي. کله چې خلاص شي، دا میکرو د قرباني په کمپیوټر کې د پاور شیل سیشن پیل کوي. هېکران عموما PowerShell ته د کمانډونو بیس 64 کوډ شوی جریان لیږي. دا ټول د دې لپاره ترسره شوي چې برید د ویب فلټرونو او انټي ویروس سافټویر لخوا کشف کول ستونزمن کړي چې ځینې کلیمو ته ځواب ووایی.
خوشبختانه، HA په اوتومات ډول بیس 64 ډیکوډ کوي او هرڅه سمدلاسه د لوستلو وړ ب formatه کې ښیې. په لازمي ډول ، تاسو اړتیا نلرئ پدې تمرکز وکړئ چې دا سکریپټونه څنګه کار کوي ځکه چې تاسو به وکولی شئ د HA اړونده برخه کې د چلولو پروسو لپاره بشپړ کمانډ محصول وګورئ. لاندې مثال وګورئ:
د هایبرډ تحلیل د بیس 64 کوډ شوي کمانډونه مداخله کوي چې PowerShell ته لیږل شوي:
او بیا یې ستاسو لپاره کوډ کوي. #په جادويي ډول
В ما د PowerShell سیشن د چلولو لپاره خپل یو څه مبهم جاواسکریپټ کانټینر جوړ کړ. زما سکریپټ، د ډیری PowerShell پر بنسټ مالویر په څیر، بیا د لیرې ویب پاڼې څخه لاندې PowerShell سکریپټ ډاونلوډ کوي. بیا، د مثال په توګه، ما یو بې ضرر PS پورته کړ چې په سکرین کې یو پیغام چاپ کړی. مګر وختونه بدلیږي، او اوس زه وړاندیز کوم چې سناریو پیچلې کړم.
د پاور شیل امپراتورۍ او ریورس شیل
د دې تمرین یو هدف دا دی چې وښیې چې څنګه (نسبتا) په اسانۍ سره یو هیکر کولی شي د کلاسیک محافظت دفاع او انټي ویروسونه تیر کړي. که زما په څیر د برنامه کولو مهارتونو پرته د آی ټي بلاګر کولی شي دا په څو ماښامونو کې ترسره کړي (په بشپړ ډول کشف شوی، FUD)، د یو ځوان هیکر وړتیاو تصور وکړئ چې پدې کې لیوالتیا لري!
او که تاسو د آی ټي امنیت چمتو کونکی یاست ، مګر ستاسو مدیر د دې ګواښونو احتمالي پایلو څخه خبر نه وي ، یوازې هغه ته دا مقاله وښایاست.
هیکران د قرباني لپ ټاپ یا سرور ته د مستقیم لاسرسي ترلاسه کولو خوب کوي. دا کول خورا ساده دي: ټول هیکر باید ترسره کړي د CEO لپ ټاپ کې یو څو محرم فایلونه ترلاسه کړي.
یو څه زه لا دمخه د پاور شیل امپراتورۍ وروسته د تولید وخت په اړه. راځئ چې په یاد ولرو چې دا څه دي.
دا په اصل کې د PowerShell پر بنسټ د ننوتلو ازموینې وسیله ده چې د ډیری نورو ځانګړتیاوو په منځ کې، تاسو ته اجازه درکوي په اسانۍ سره یو ریورس شیل چل کړئ. تاسو کولی شئ دا په ډیر تفصیل سره مطالعه کړئ .
راځئ چې لږ تجربه وکړو. ما د ایمیزون ویب خدماتو کلاوډ کې د خوندي مالویر ازموینې چاپیریال رامینځته کړی. تاسو کولی شئ زما مثال تعقیب کړئ ترڅو په ګړندۍ او خوندي ډول د دې زیان مننې کاري مثال وښایاست (او د تشبث په چوکاټ کې د ویروسونو چلولو لپاره له دندې ګوښه نه شئ).
که تاسو د پاور شیل امپراتور کنسول لانچ کړئ ، نو تاسو به داسې یو څه وګورئ:
لومړی تاسو په خپل هیکر کمپیوټر کې د اوریدونکي پروسه پیل کړئ. د "اوریدونکي" کمانډ دننه کړئ، او د "سیټ کوربه" په کارولو سره د خپل سیسټم IP پته مشخص کړئ. بیا د "عمل" کمانډ (لاندې) سره د اوریدونکي پروسه پیل کړئ. په دې توګه، ستاسو په برخه کې، تاسو به د ریموټ شیل څخه د شبکې پیوستون ته انتظار پیل کړئ:
د بل اړخ لپاره، تاسو به د "لانچر" کمانډ په داخلولو سره د اجنټ کوډ رامینځته کولو ته اړتیا ولرئ (لاندې وګورئ). دا به د ریموټ ایجنټ لپاره د پاور شیل کوډ رامینځته کړي. په یاد ولرئ چې دا په بیس 64 کې کوډ شوی، او د تادیاتو دویم پړاو استازیتوب کوي. په بل عبارت، زما د جاواسکریپټ کوډ به اوس دا اجنټ راوباسي ترڅو د پاور شیل چلولو پرځای په بې ګناه ډول سکرین ته متن چاپ کړي، او زموږ د ریموټ PSE سرور سره وصل شي ترڅو د ریورس شیل چلولو لپاره.
د ریورس شیل جادو. دا کوډ شوی PowerShell کمانډ به زما د اوریدونکي سره وصل شي او یو ریموټ شیل به پیل کړي.
تاسو ته د دې تجربې ښودلو لپاره ، ما د بې ګناه قرباني رول په غاړه واخیست او Evil.doc یې خلاص کړ ، په دې توګه زموږ جاواسکریپټ پیل شو. لومړۍ برخه مو په یاد ده؟ پاور شیل د دې کړکۍ د پاپ اپ څخه مخنیوي لپاره تنظیم شوی ، نو قرباني به هیڅ غیر معمولي ونه ګوري. په هرصورت، که تاسو د وینډوز ټاسک مدیر پرانیزئ، تاسو به د پاور شیل شالید پروسه وګورئ چې په هرصورت ډیری خلکو ته به د خطر خطر ونلري. ځکه چې دا یوازې منظم PowerShell دی، نه دا؟
اوس کله چې تاسو Evil.doc چلوئ، د پټ شالید پروسه به د PowerShell امپراتورۍ چلولو سرور سره وصل شي. زما د سپینې پینټیسټر هیکر خولۍ په مینځلو سره ، زه د پاور شیل امپراتور کنسول ته راستون شوم او اوس یو پیغام ګورم چې زما ریموټ اجنټ فعال دی.
ما بیا په PSE کې د شیل خلاصولو لپاره "متقابل عمل" کمانډ ته ننوتل - او زه هلته وم! په لنډه توګه، ما د ټیکو سرور هیک کړ چې ما خپل ځان یو ځل جوړ کړ.
هغه څه چې ما یوازې ښودلي ستاسو په برخه کې دومره کار ته اړتیا نلري. تاسو کولی شئ دا ټول په اسانۍ سره ستاسو د غرمې د وقفې پرمهال د یو یا دوه ساعتونو لپاره ترسره کړئ ترڅو ستاسو د معلوماتو امنیت پوهه ښه کړي. دا د پوهیدو لپاره هم عالي لاره ده چې څنګه هیکرز ستاسو د بهرني امنیت محدودیت څخه تیریږي او ستاسو سیسټمونو ته ننوځي.
د معلوماتي ټکنالوجۍ مدیران چې فکر کوي دوی د هر ډول مداخلې په وړاندې د نه منلو وړ دفاع رامینځته کړې شاید دا به تعلیمي هم ومومي - دا دی ، که تاسو دوی قانع کولی شئ چې ستاسو سره ډیر وخت ناست وي.
راځئ چې حقیقت ته بیرته راشو
لکه څنګه چې ما تمه درلوده، یو ریښتینی هیک، د اوسط کاروونکي لپاره ناڅرګند دی، په ساده ډول د هغه څه توپیر دی چې ما یوازې بیان کړی. د راتلونکي خپرونې لپاره د موادو راټولولو لپاره، ما په HA کې د یوې نمونې په لټه کې پیل وکړ چې زما د اختراع شوي مثال په څیر کار کوي. او ما د اوږدې مودې لپاره د هغې په لټه کې نه و - په سایټ کې د ورته برید تخنیک لپاره ډیری اختیارونه شتون لري.
هغه مالویر چې ما په پای کې په HA کې وموندل د VBA سکریپټ و چې د Word سند کې ځای په ځای شوی و. دا دی ، زه حتی د ډاک توسیع جعلي کولو ته اړتیا نلرم ، دا مالویر واقعیا یو نورمال ښکاري مایکروسافټ ورډ سند دی. که تاسو لیوالتیا لرئ، ما دا نمونه غوره کړه .
ما په چټکۍ سره زده کړل چې تاسو اکثرا نشي کولی په مستقیم ډول د یو سند څخه ناوړه VBA سکریپټونه وباسي. هیکرز دوی فشاروي او پټوي نو دوی د Word په جوړ شوي میکرو وسیلو کې نه لیدل کیږي. تاسو به د لرې کولو لپاره ځانګړي وسیلې ته اړتیا ولرئ. خوشبختانه زه د سکینر سره مخ شوم فرانک بالډوین مننه، فرانک.
د دې وسیلې په کارولو سره ، زه وتوانید چې د خورا مبهم VBA کوډ وباسم. دا یو څه داسې ښکاري:
خنډ د دوی په ساحه کې د متخصصینو لخوا ترسره شوی. زه متاثره وم!
برید کوونکي په پټه کوډ کې ښه دي، نه د Evil.doc په جوړولو کې زما د هڅو په څیر. ښه، په راتلونکې برخه کې به موږ خپل د VBA ډیبګرونه واخلو، پدې کوډ کې لږ ژور ډوب کړو او زموږ تحلیل د HA پایلو سره پرتله کړو.
سرچینه: www.habr.com