هن آرٽيڪل سان اسان شروع ڪريون ٿا پبليڪيشن جو هڪ سلسلو خراب مالويئر بابت. فائل لیس هيڪنگ پروگرام، جن کي فائيل لیس هيڪنگ پروگرامن جي نالي سان پڻ سڃاتو وڃي ٿو، عام طور تي ونڊوز سسٽم تي PowerShell استعمال ڪن ٿا خاموشيءَ سان حڪم هلائڻ لاءِ قيمتي مواد ڳولڻ ۽ ڪڍڻ لاءِ. خراب فائلن جي بغير هيڪر جي سرگرمي کي ڳولڻ هڪ ڏکيو ڪم آهي، ڇاڪاڻ ته ... اينٽي وائرس ۽ ٻيا ڪيترائي ڳولڻ وارا نظام ڪم ڪن ٿا دستخط جي تجزيو جي بنياد تي. پر سٺي خبر اها آهي ته اهڙي سافٽ ويئر موجود آهي. مثال طور،
جڏهن مون پهريون ڀيرو بيڊاس هيڪرز جي موضوع تي تحقيق ڪرڻ شروع ڪيو،
عظيم ۽ طاقتور پاور شيل
مون انهن مان ڪجهه خيالن بابت اڳ ۾ لکيو آهي
پاڻ نموني سان گڏ، سائيٽ تي توهان ڏسي سگهو ٿا ته اهي پروگرام ڇا ڪندا آهن. هائبرڊ تجزيو مالويئر کي پنهنجي سينڊ باڪس ۾ هلائي ٿو ۽ سسٽم ڪالن کي مانيٽر ڪري ٿو، هلندڙ عمل ۽ نيٽورڪ سرگرميون، ۽ مشڪوڪ ٽيڪسٽ اسٽرنگ ڪڍي ٿو. بائنري ۽ ٻين قابل عمل فائلن لاءِ، يعني جتي توهان حقيقي اعليٰ سطحي ڪوڊ کي به نه ڏسي سگهو ٿا، هائبرڊ تجزيو فيصلو ڪري ٿو ته سافٽ ويئر خراب آهي يا صرف مشڪوڪ آهي ان جي رن ٽائم سرگرمي جي بنياد تي. ۽ ان کان پوء نموني اڳ ۾ ئي اندازو لڳايو ويو آهي.
پاور شيل ۽ ٻين نموني اسڪرپٽس جي صورت ۾ (بصري بنيادي، جاوا اسڪرپٽ، وغيره)، مان پاڻ کي ڪوڊ ڏسڻ جي قابل هو. مثال طور، مان هن PowerShell مثال ۾ آيو آهيان:
توهان پڻ هلائي سگهو ٿا PowerShell کي بيس 64 انڪوڊنگ ۾ ڳولڻ کان بچڻ لاء. Noninteractive ۽ لڪايل پيٽرول جي استعمال کي نوٽ ڪريو.
جيڪڏھن توھان پڙھيو آھي منھنجيون تحريرون obfuscation تي، پوء توھان ڄاڻو ٿا ته -e اختيار بيان ڪري ٿو ته مواد بيس 64 انڪوڊ ٿيل آھي. رستي جي ذريعي، هائبرڊ تجزيو پڻ مدد ڪري ٿو هن سان گڏ هر شي کي واپس ڊيڪوڊنگ ڪندي. جيڪڏھن توھان ڪوشش ڪرڻ چاھيو ٿا بيس 64 پاور شيل (هتي PS طور حوالو ڏنو ويو آھي) پاڻ کي ڊيڪوڊنگ، توھان کي ھي حڪم هلائڻو پوندو:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
وڌيڪ اونهي وڃو
مون هن طريقي سان استعمال ڪندي اسان جي پي ايس اسڪرپٽ کي ڊيڪوڊ ڪيو، هيٺ ڏنل پروگرام جو متن آهي، جيتوڻيڪ منهنجي طرفان ٿورڙي تبديل ٿيل آهي:
نوٽ ڪريو ته اسڪرپٽ تاريخ 4 سيپٽمبر 2017 سان ڳنڍيو ويو ۽ سيشن ڪوڪيز منتقل ڪيو ويو.
مون هن انداز ۾ حملي بابت لکيو
هي ڇا آهي؟
سيڪيورٽي سافٽ ويئر اسڪيننگ ونڊوز ايونٽ لاگز يا فائر والز لاءِ، بيس 64 انڪوڊنگ اسٽرنگ ”WebClient“ کي هڪ سادي متن جي نمونن ذريعي معلوم ٿيڻ کان روڪي ٿي ته جيئن اهڙي ويب درخواست ڪرڻ کان بچي سگهجي. ۽ جيئن ته مالويئر جا سڀ ”برائي“ پوءِ ڊائون لوڊ ڪيا ويا آهن ۽ اسان جي پاور شيل ۾ گذري ويا آهن، اهو طريقو اسان کي مڪمل طور تي ڳولڻ کان بچڻ جي اجازت ڏئي ٿو. يا بلڪه، اهو آهي جيڪو مون پهرين سوچيو هو.
اهو ظاهر ٿئي ٿو ته Windows PowerShell Advanced Logging سان فعال (منهنجو مضمون ڏسو)، توهان ايونٽ لاگ ۾ لوڊ ٿيل لائن ڏسي سگهندا. مان جهڙو آهيان
اچو ته اضافي منظرنامو شامل ڪريو
هيڪرز وڏي چالاڪي سان PowerShell حملن کي Microsoft Office macros ۾ لڪائيندا آهن جيڪي Visual Basic ۽ ٻين اسڪرپٽنگ ٻولين ۾ لکيل آهن. خيال اهو آهي ته مقتول هڪ پيغام وصول ڪري ٿو، مثال طور ترسيل سروس کان، .doc فارميٽ ۾ منسلڪ رپورٽ سان. توھان ھي ڊاڪيومينٽ کوليو جنھن ۾ ميڪرو شامل آھي، ۽ اھو ختم ٿئي ٿو پاڻ کي خراب ڪندڙ PowerShell لانچ ڪرڻ.
گهڻو ڪري Visual Basic اسڪرپٽ پاڻ کي ڇڪايو ويندو آهي ته جيئن اهو آزاديء سان اينٽي وائرس ۽ ٻين مالويئر اسڪينرز کان بچي وڃي. مٿين جي جذبي ۾، مون فيصلو ڪيو ته مٿي ڏنل پاور شيل کي ڪوڊ ڪرڻ جاوا اسڪرپٽ ۾ مشق جي طور تي. هيٺيان منهنجي ڪم جا نتيجا آهن:
اڻڄاتل جاوا اسڪرپٽ اسان جي پاور شيل کي لڪائي ٿو. حقيقي هيڪرز اهو هڪ ڀيرو يا ٻه ڀيرا ڪندا آهن.
هي هڪ ٻي ٽيڪنڪ آهي جيڪا مون ويب جي چوڌاري ڦرندي ڏٺي آهي: ڪوڊ ٿيل PowerShell هلائڻ لاءِ Wscript.Shell استعمال ڪندي. رستي جي ذريعي، جاوا اسڪرپٽ پاڻ آهي
اسان جي حالت ۾، بدسلوڪي JS اسڪرپٽ هڪ فائل جي طور تي .doc.js ايڪسٽينشن سان شامل ڪئي وئي آهي. ونڊوز عام طور تي صرف پهريون لاڳاپو ڏيکاريندو، تنهنڪري اهو ظاهر ٿيندو مقتول کي لفظ دستاويز جي طور تي.
JS آئڪن صرف اسڪرول آئڪن ۾ ظاهر ٿئي ٿو. اها تعجب جي ڳالهه ناهي ته ڪيترائي ماڻهو هن منسلڪ کي کوليندا سوچندا اهو هڪ لفظ دستاويز آهي.
منهنجي مثال ۾، مون پنهنجي ويب سائيٽ تان اسڪرپٽ ڊائون لوڊ ڪرڻ لاءِ مٿي PowerShell کي تبديل ڪيو. ريموٽ پي ايس اسڪرپٽ صرف "Evil Malware" کي پرنٽ ڪري ٿو. جيئن ته توهان ڏسي سگهو ٿا، هو تمام خراب ناهي. يقينا، حقيقي هيڪرز هڪ ليپ ٽاپ يا سرور تائين رسائي حاصل ڪرڻ ۾ دلچسپي وٺندا آهن، چون ٿا، هڪ حڪم شيل ذريعي. ايندڙ آرٽيڪل ۾، مان توهان کي ڏيکاريندس ته اهو ڪيئن ڪجي PowerShell Empire استعمال ڪندي.
مون کي اميد آهي ته پهرين تعارفي مضمون لاءِ اسان موضوع ۾ تمام گهڻي کوٽ نه ڪئي هئي. هاڻي مان توهان کي ساهه کڻڻ ڏيندس، ۽ ايندڙ ڀيري اسين ڪنهن به غير ضروري تعارفي لفظن يا تياري کان سواءِ فائل بيس مالويئر استعمال ڪندي حملن جا حقيقي مثال ڏسڻ شروع ڪنداسين.
جو ذريعو: www.habr.com