هن آرٽيڪل سان اسان شروع ڪريون ٿا پبليڪيشن جو هڪ سلسلو خراب مالويئر بابت. فائل لیس هيڪنگ پروگرام، جن کي فائيل لیس هيڪنگ پروگرامن جي نالي سان پڻ سڃاتو وڃي ٿو، عام طور تي ونڊوز سسٽم تي PowerShell استعمال ڪن ٿا خاموشيءَ سان حڪم هلائڻ لاءِ قيمتي مواد ڳولڻ ۽ ڪڍڻ لاءِ. خراب فائلن جي بغير هيڪر جي سرگرمي کي ڳولڻ هڪ ڏکيو ڪم آهي، ڇاڪاڻ ته ... اينٽي وائرس ۽ ٻيا ڪيترائي ڳولڻ وارا نظام ڪم ڪن ٿا دستخط جي تجزيو جي بنياد تي. پر سٺي خبر اها آهي ته اهڙي سافٽ ويئر موجود آهي. مثال طور، ، فائل سسٽم ۾ بدسلوڪي سرگرمي کي ڳولڻ جي قابل.
جڏهن مون پهريون ڀيرو بيڊاس هيڪرز جي موضوع تي تحقيق ڪرڻ شروع ڪيو، ، پر صرف اوزار ۽ سافٽ ويئر موجود آهي مقتول جي ڪمپيوٽر تي، مون کي ڪا به خبر نه هئي ته اهو جلدي حملي جو هڪ مشهور طريقو بڻجي ويندو. سيڪيورٽي پروفيسر ته اهو هڪ رجحان بڻجي رهيو آهي، ۽ - هن جي تصديق. تنهن ڪري، مون هن موضوع تي اشاعت جو هڪ سلسلو ٺاهڻ جو فيصلو ڪيو.
عظيم ۽ طاقتور پاور شيل
مون انهن مان ڪجهه خيالن بابت اڳ ۾ لکيو آهي ، پر وڌيڪ هڪ نظرياتي تصور جي بنياد تي. بعد ۾ مون کي سامهون آيو ، جتي توهان ڳولي سگهو ٿا مالويئر جا نمونا ”پکڙيل“ جهنگ ۾. مون هن سائيٽ کي استعمال ڪرڻ جي ڪوشش ڪرڻ جو فيصلو ڪيو فائل بيس مالويئر جا نمونا ڳولڻ لاءِ. ۽ مان ڪامياب ٿيس. رستي ۾، جيڪڏهن توهان چاهيو ٿا ته توهان پنهنجي مالويئر جي شڪار جي مهم تي وڃو، توهان کي هن سائيٽ کان تصديق ڪرڻي پوندي ته جيئن اهي ڄاڻن ته توهان ڪم ڪري رهيا آهيو هڪ سفيد ٽوپي ماهر طور. هڪ سيڪيورٽي بلاگر جي طور تي، مون ان کي بغير ڪنهن سوال جي منظور ڪيو. مون کي پڪ آهي ته توهان به ڪري سگهو ٿا.
پاڻ نموني سان گڏ، سائيٽ تي توهان ڏسي سگهو ٿا ته اهي پروگرام ڇا ڪندا آهن. هائبرڊ تجزيو مالويئر کي پنهنجي سينڊ باڪس ۾ هلائي ٿو ۽ سسٽم ڪالن کي مانيٽر ڪري ٿو، هلندڙ عمل ۽ نيٽورڪ سرگرميون، ۽ مشڪوڪ ٽيڪسٽ اسٽرنگ ڪڍي ٿو. بائنري ۽ ٻين قابل عمل فائلن لاءِ، يعني جتي توهان حقيقي اعليٰ سطحي ڪوڊ کي به نه ڏسي سگهو ٿا، هائبرڊ تجزيو فيصلو ڪري ٿو ته سافٽ ويئر خراب آهي يا صرف مشڪوڪ آهي ان جي رن ٽائم سرگرمي جي بنياد تي. ۽ ان کان پوء نموني اڳ ۾ ئي اندازو لڳايو ويو آهي.
پاور شيل ۽ ٻين نموني اسڪرپٽس جي صورت ۾ (بصري بنيادي، جاوا اسڪرپٽ، وغيره)، مان پاڻ کي ڪوڊ ڏسڻ جي قابل هو. مثال طور، مان هن PowerShell مثال ۾ آيو آهيان:
توهان پڻ هلائي سگهو ٿا PowerShell کي بيس 64 انڪوڊنگ ۾ ڳولڻ کان بچڻ لاء. Noninteractive ۽ لڪايل پيٽرول جي استعمال کي نوٽ ڪريو.
جيڪڏھن توھان پڙھيو آھي منھنجيون تحريرون obfuscation تي، پوء توھان ڄاڻو ٿا ته -e اختيار بيان ڪري ٿو ته مواد بيس 64 انڪوڊ ٿيل آھي. رستي جي ذريعي، هائبرڊ تجزيو پڻ مدد ڪري ٿو هن سان گڏ هر شي کي واپس ڊيڪوڊنگ ڪندي. جيڪڏھن توھان ڪوشش ڪرڻ چاھيو ٿا بيس 64 پاور شيل (هتي PS طور حوالو ڏنو ويو آھي) پاڻ کي ڊيڪوڊنگ، توھان کي ھي حڪم هلائڻو پوندو:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))وڌيڪ اونهي وڃو
مون هن طريقي سان استعمال ڪندي اسان جي پي ايس اسڪرپٽ کي ڊيڪوڊ ڪيو، هيٺ ڏنل پروگرام جو متن آهي، جيتوڻيڪ منهنجي طرفان ٿورڙي تبديل ٿيل آهي:
نوٽ ڪريو ته اسڪرپٽ تاريخ 4 سيپٽمبر 2017 سان ڳنڍيو ويو ۽ سيشن ڪوڪيز منتقل ڪيو ويو.
مون هن انداز ۾ حملي بابت لکيو ، جنهن ۾ بنيادي 64 انڪوڊ ٿيل اسڪرپٽ پاڻ کي لوڊ ڪري ٿو غائب ٻي سائيٽ تان مالويئر، استعمال ڪندي .Net فريم ورڪ لائبريري جي WebClient اعتراض کي کڻڻ لاءِ.
هي ڇا آهي؟
سيڪيورٽي سافٽ ويئر اسڪيننگ ونڊوز ايونٽ لاگز يا فائر والز لاءِ، بيس 64 انڪوڊنگ اسٽرنگ ”WebClient“ کي هڪ سادي متن جي نمونن ذريعي معلوم ٿيڻ کان روڪي ٿي ته جيئن اهڙي ويب درخواست ڪرڻ کان بچي سگهجي. ۽ جيئن ته مالويئر جا سڀ ”برائي“ پوءِ ڊائون لوڊ ڪيا ويا آهن ۽ اسان جي پاور شيل ۾ گذري ويا آهن، اهو طريقو اسان کي مڪمل طور تي ڳولڻ کان بچڻ جي اجازت ڏئي ٿو. يا بلڪه، اهو آهي جيڪو مون پهرين سوچيو هو.
اهو ظاهر ٿئي ٿو ته Windows PowerShell Advanced Logging سان فعال (منهنجو مضمون ڏسو)، توهان ايونٽ لاگ ۾ لوڊ ٿيل لائن ڏسي سگهندا. مان جهڙو آهيان ) مان سمجهان ٿو ته Microsoft کي ڊفالٽ طور لاگنگ جي هن سطح کي فعال ڪرڻ گهرجي. تنهن ڪري، وڌايل لاگنگ فعال ٿيڻ سان، اسان ڏسنداسين ونڊوز ايونٽ لاگ ۾ هڪ PS اسڪرپٽ مان مڪمل ٿيل ڊائون لوڊ درخواست جي مثال مطابق اسان مٿي بيان ڪيو آهي. تنهن ڪري، اهو ان کي چالو ڪرڻ جو احساس آهي، ڇا توهان متفق نه آهيو؟
اچو ته اضافي منظرنامو شامل ڪريو
هيڪرز وڏي چالاڪي سان PowerShell حملن کي Microsoft Office macros ۾ لڪائيندا آهن جيڪي Visual Basic ۽ ٻين اسڪرپٽنگ ٻولين ۾ لکيل آهن. خيال اهو آهي ته مقتول هڪ پيغام وصول ڪري ٿو، مثال طور ترسيل سروس کان، .doc فارميٽ ۾ منسلڪ رپورٽ سان. توھان ھي ڊاڪيومينٽ کوليو جنھن ۾ ميڪرو شامل آھي، ۽ اھو ختم ٿئي ٿو پاڻ کي خراب ڪندڙ PowerShell لانچ ڪرڻ.
گهڻو ڪري Visual Basic اسڪرپٽ پاڻ کي ڇڪايو ويندو آهي ته جيئن اهو آزاديء سان اينٽي وائرس ۽ ٻين مالويئر اسڪينرز کان بچي وڃي. مٿين جي جذبي ۾، مون فيصلو ڪيو ته مٿي ڏنل پاور شيل کي ڪوڊ ڪرڻ جاوا اسڪرپٽ ۾ مشق جي طور تي. هيٺيان منهنجي ڪم جا نتيجا آهن:
اڻڄاتل جاوا اسڪرپٽ اسان جي پاور شيل کي لڪائي ٿو. حقيقي هيڪرز اهو هڪ ڀيرو يا ٻه ڀيرا ڪندا آهن.
هي هڪ ٻي ٽيڪنڪ آهي جيڪا مون ويب جي چوڌاري ڦرندي ڏٺي آهي: ڪوڊ ٿيل PowerShell هلائڻ لاءِ Wscript.Shell استعمال ڪندي. رستي جي ذريعي، جاوا اسڪرپٽ پاڻ آهي مالويئر جي پهچائڻ. ونڊوز جا ڪيترائي ورجن بلٽ ان آهن ، جيڪو پاڻ JS هلائي سگهي ٿو.
اسان جي حالت ۾، بدسلوڪي JS اسڪرپٽ هڪ فائل جي طور تي .doc.js ايڪسٽينشن سان شامل ڪئي وئي آهي. ونڊوز عام طور تي صرف پهريون لاڳاپو ڏيکاريندو، تنهنڪري اهو ظاهر ٿيندو مقتول کي لفظ دستاويز جي طور تي.
JS آئڪن صرف اسڪرول آئڪن ۾ ظاهر ٿئي ٿو. اها تعجب جي ڳالهه ناهي ته ڪيترائي ماڻهو هن منسلڪ کي کوليندا سوچندا اهو هڪ لفظ دستاويز آهي.
منهنجي مثال ۾، مون پنهنجي ويب سائيٽ تان اسڪرپٽ ڊائون لوڊ ڪرڻ لاءِ مٿي PowerShell کي تبديل ڪيو. ريموٽ پي ايس اسڪرپٽ صرف "Evil Malware" کي پرنٽ ڪري ٿو. جيئن ته توهان ڏسي سگهو ٿا، هو تمام خراب ناهي. يقينا، حقيقي هيڪرز هڪ ليپ ٽاپ يا سرور تائين رسائي حاصل ڪرڻ ۾ دلچسپي وٺندا آهن، چون ٿا، هڪ حڪم شيل ذريعي. ايندڙ آرٽيڪل ۾، مان توهان کي ڏيکاريندس ته اهو ڪيئن ڪجي PowerShell Empire استعمال ڪندي.
مون کي اميد آهي ته پهرين تعارفي مضمون لاءِ اسان موضوع ۾ تمام گهڻي کوٽ نه ڪئي هئي. هاڻي مان توهان کي ساهه کڻڻ ڏيندس، ۽ ايندڙ ڀيري اسين ڪنهن به غير ضروري تعارفي لفظن يا تياري کان سواءِ فائل بيس مالويئر استعمال ڪندي حملن جا حقيقي مثال ڏسڻ شروع ڪنداسين.
جو ذريعو: www.habr.com