هي آرٽيڪل فائل بيس مالويئر سيريز جو حصو آهي. سيريز جا ٻيا سڀئي حصا:
- Elusive Malware جي ايڊونچرز، حصو II: پوشیدہ VBA اسڪرپٽ (اسان هتي آهيون)
مان سائيٽ جو مداح آهيان (هائبرڊ تجزيو، ھتان کان پوء HA). هي هڪ قسم جو مالويئر زو آهي جتي توهان بغير ڪنهن حملي جي محفوظ فاصلي کان جهنگلي ”شڪارين“ کي محفوظ طور تي ڏسي سگهو ٿا. HA محفوظ ماحول ۾ مالويئر هلائي ٿو، سسٽم ڪالز رڪارڊ ڪري ٿو، ٺاهيل فائلون ۽ انٽرنيٽ ٽريفڪ، ۽ توهان کي اهي سڀ نتيجا ڏئي ٿو هر نموني لاءِ جيڪو اهو تجزيو ڪري ٿو. هن طريقي سان، توهان کي پنهنجو وقت ۽ توانائي ضايع ڪرڻ جي ڪوشش نه ڪرڻ جي ڪوشش ڪندي مونجهاري واري ڪوڊ پاڻ کي معلوم ڪرڻ جي ڪوشش ڪئي، پر فوري طور تي سڀني هيڪرز جي ارادن کي سمجهي سگهو ٿا.
HA مثال جيڪي منهنجو ڌيان ڇڪيندا آهن اهي يا ته ڪوڊ ٿيل JavaScript يا Visual Basic for Applications (VBA) اسڪرپٽ استعمال ڪن ٿا جيئن ورڈ يا ايڪسل دستاويزن ۾ ميڪرو طور شامل ٿيل آهن ۽ فشنگ اي ميلن سان جڙيل آهن. جڏهن کوليا ويندا، اهي ميڪرو متاثر جي ڪمپيوٽر تي پاور شيل سيشن شروع ڪندا آهن. هيڪرز عام طور تي PowerShell ڏانهن حڪمن جو هڪ Base64 انڪوڊ ٿيل وهڪرو موڪليندا آهن. اهو سڀ ڪجهه ڪيو ويو آهي حملي کي ڏکيو بنائڻ لاءِ ويب فلٽرز ۽ اينٽي وائرس سافٽ ويئر ذريعي جيڪي ڪجهه خاص لفظن جو جواب ڏين ٿا.
خوش قسمت، HA خود بخود بيس 64 کي ڊيڪوڊ ڪري ٿو ۽ هر شي کي فوري طور تي پڙهڻ واري فارميٽ ۾ ڏيکاري ٿو. لازمي طور تي، توهان کي ڌيان ڏيڻ جي ضرورت ناهي ته اهي اسڪرپٽ ڪيئن ڪم ڪن ٿيون ڇو ته توهان HA جي لاڳاپيل حصي ۾ هلندڙ عملن لاءِ مڪمل ڪمانڊ آئوٽ ڏسي سگهندا. هيٺ ڏنل مثال ڏسو:
هائبرڊ تجزيو بيس 64 انڪوڊ ٿيل حڪمن کي روڪي ٿو پاور شيل ڏانهن موڪليو ويو:
... ۽ پوءِ انھن کي توھان لاءِ ڊيڪوڊ ڪري ٿو. #جادوءَ سان
В مون پاور شيل سيشن کي هلائڻ لاءِ پنهنجو پاڻ کي ٿورو مبهم جاوا اسڪرپٽ ڪنٽينر ٺاهيو. منهنجو اسڪرپٽ، ڪيترن ئي PowerShell-based malware وانگر، پوءِ هيٺ ڏنل PowerShell اسڪرپٽ کي ريموٽ ويب سائيٽ تان ڊائون لوڊ ڪري ٿو. پوء، مثال طور، مون هڪ بي ضرر پي ايس لوڊ ڪيو جيڪو اسڪرين تي هڪ پيغام ڇپايو. پر وقت تبديل ٿي رهيا آهن، ۽ هاڻي مان پيش ڪريان ٿو منظر کي پيچيده ڪرڻ.
پاور شيل سلطنت ۽ ريورس شيل
هن مشق جو هڪ مقصد اهو آهي ته اهو ڏيکاريو ته ڪيئن (نسبتا) آساني سان هڪ هيڪر کلاسي پريميٽ دفاعن ۽ اينٽي وائرسز کي نظرانداز ڪري سگهي ٿو. جيڪڏهن هڪ IT بلاگر بغير پروگرامنگ جي مهارتن کان سواء، مون وانگر، اهو ڪري سگهي ٿو ٻن شامن ۾ (مڪمل طور تي اڻڄاتل، FUD)، هن ۾ دلچسپي رکندڙ نوجوان هيڪر جي صلاحيتن جو تصور ڪريو!
۽ جيڪڏهن توهان هڪ IT سيڪيورٽي فراهم ڪندڙ آهيو، پر توهان جو مينيجر انهن خطرن جي ممڪن نتيجن کان واقف ناهي، صرف هن کي ڏيکاريو هي مضمون.
هيڪرز قرباني جي ليپ ٽاپ يا سرور تائين سڌي رسائي حاصل ڪرڻ جو خواب ڏسندا آهن. اهو ڪرڻ تمام سادو آهي: هيڪر کي سڀ ڪجهه ڪرڻ جي ضرورت آهي سي اي او جي ليپ ٽاپ تي ڪجهه رازداري فائلون حاصل ڪرڻ.
ڪنهن به طرح مان اڳ ۾ ئي پاور شيل ايمپائر پوسٽ پروڊڪشن رن ٽائم بابت. اچو ته ياد رکون ته اهو ڇا آهي.
اهو بنيادي طور تي هڪ PowerShell تي ٻڌل دخول جاچ وارو اوزار آهي، جيڪو ڪيترن ئي ٻين خاصيتن جي وچ ۾، توهان کي آساني سان ريورس شيل هلائڻ جي اجازت ڏئي ٿو. توھان ان کي وڌيڪ تفصيل سان پڙھي سگھوٿا .
اچو ته ٿورو تجربو ڪريون. مون Amazon ويب سروسز ڪلائوڊ ۾ محفوظ مالويئر ٽيسٽنگ ماحول قائم ڪيو. توهان منهنجي مثال جي پيروي ڪري سگهو ٿا جلدي ۽ محفوظ طور تي هن ڪمزوري جو هڪ ڪم ڪندڙ مثال ڏيکارڻ (۽ انٽرپرائز جي دائري اندر وائرس هلائڻ لاءِ برطرف نه ٿيو).
جيڪڏهن توهان پاور شيل ايمپائر ڪنسول لانچ ڪيو ٿا، ته توهان هن وانگر ڪجهه ڏسندا:
پهرين توهان پنهنجي هيڪر ڪمپيوٽر تي ٻڌندڙ عمل شروع ڪيو. "ٻڌندڙ" حڪم داخل ڪريو، ۽ "سيٽ ميزبان" استعمال ڪندي پنھنجي سسٽم جو IP پتو بيان ڪريو. پوءِ ٻڌندڙ عمل کي "execute" حڪم سان شروع ڪريو (هيٺ ڏنل). اهڙيء طرح، توهان جي حصي تي، توهان ريموٽ شيل مان نيٽ ورڪ ڪنيڪشن جو انتظار ڪرڻ شروع ڪندا:
ٻئي پاسي لاء، توهان کي "لانچر" حڪم داخل ڪندي هڪ ايجنٽ ڪوڊ ٺاهڻ جي ضرورت پوندي (هيٺ ڏسو). اهو ريموٽ ايجنٽ لاءِ پاور شيل ڪوڊ ٺاهيندو. ياد رهي ته اهو بيس 64 ۾ انڪوڊ ڪيو ويو آهي، ۽ پيشي لوڊ جي ٻئي مرحلي جي نمائندگي ڪري ٿو. ٻين لفظن ۾، منھنجو JavaScript ڪوڊ ھاڻي ھن ايجنٽ کي ھاڻي پاور شيل کي ھلائڻ جي بجاءِ اسڪرين تي متن کي معصوم طور تي ڇپائي، ۽ ريورس شيل ھلائڻ لاءِ اسان جي ريموٽ PSE سرور سان ڳنڍيندو.
ريورس شيل جو جادو. هي ڪوڊ ٿيل پاور شيل ڪمانڊ منهنجي ٻڌندڙ سان ڳنڍيندو ۽ ريموٽ شيل لانچ ڪندو.
توھان کي ھي تجربو ڏيکارڻ لاءِ، مون بيگناھ قربانيءَ جو ڪردار نڀايو ۽ Evil.doc کوليو، اھڙي طرح اسان جو JavaScript لانچ ڪيو. پهريون حصو ياد آهي؟ پاور شيل کي ترتيب ڏنو ويو آهي ته جيئن ان جي ونڊو کي پاپ اپ ٿيڻ کان روڪيو وڃي، تنهنڪري قرباني ڪنهن به غير معمولي ڳالهه کي نوٽيس نه ڪندو. تنهن هوندي، جيڪڏهن توهان Windows ٽاسڪ مئنيجر کوليو ٿا، توهان کي هڪ پس منظر پاور شيل عمل نظر ايندو جيڪو ڪنهن به صورت ۾ اڪثر ماڻهن لاءِ الارم نه ڪندو. ڇو ته اهو صرف باقاعده PowerShell آهي، ڇا اهو ناهي؟
ھاڻي جڏھن توھان Evil.doc کي هلائيندا آھيو، ھڪڙو پوشیدہ پس منظر وارو عمل PowerShell Empire هلائيندڙ سرور سان ڳنڍيندو. منهنجي اڇي پينٽيسٽر هيڪر ٽوپي تي رکي، مان پاور شيل ايمپائر ڪنسول ڏانهن موٽي آيو آهيان ۽ هاڻي هڪ پيغام ڏٺم ته منهنجو ريموٽ ايجنٽ فعال آهي.
مون ان کان پوءِ PSE ۾ شيل کولڻ لاءِ ”interact“ حڪم داخل ڪيو - ۽ مان اتي ئي هوس! مختصر ۾، مون ٽڪو سرور کي هيڪ ڪيو جيڪو مون پاڻ کي هڪ ڀيرو سيٽ ڪيو.
جيڪو مون صرف ڏيکاريو آهي ان لاءِ توهان جي حصي تي تمام گهڻو ڪم جي ضرورت ناهي. توهان آساني سان اهو سڀ ڪجهه ڪري سگهو ٿا توهان جي لنچ جي وقفي دوران هڪ يا ٻه ڪلاڪ توهان جي معلومات جي حفاظت جي ڄاڻ کي بهتر ڪرڻ لاءِ. اهو پڻ هڪ بهترين طريقو آهي اهو سمجهڻ لاءِ ته هيڪرز توهان جي خارجي سيڪيورٽي جي دائري کي ڪيئن نظرانداز ڪري رهيا آهن ۽ توهان جي سسٽم اندر حاصل ڪري رهيا آهن.
آئي ٽي مئنيجر جيڪي سمجهن ٿا ته انهن ڪنهن به مداخلت جي خلاف هڪ ناقابل تسخير دفاع ٺاهيو آهي شايد شايد اهو تعليمي پڻ ڳولي سگهندو - اهو آهي، جيڪڏهن توهان انهن کي قائل ڪري سگهو ٿا ته توهان سان ڪافي وقت تائين ويهڻ لاء.
اچو ته حقيقت ڏانهن واپس وڃو
جيئن مون توقع ڪئي، هڪ حقيقي هيڪ، اوسط استعمال ڪندڙ کي پوشيده، صرف هڪ مختلف قسم جو آهي جيڪو مون بيان ڪيو آهي. ايندڙ اشاعت لاءِ مواد گڏ ڪرڻ لاءِ، مون HA تي هڪ نمونو ڳولڻ شروع ڪيو جيڪو منهنجي ايجاد ڪيل مثال وانگر ڪم ڪري. ۽ مون کي ان کي گهڻي عرصي تائين ڳولڻ جي ضرورت نه هئي - سائيٽ تي ساڳي حملي واري ٽيڪنڪ لاءِ ڪيترائي آپشن آهن.
مالويئر جيڪو مون آخرڪار HA تي مليو اهو هڪ VBA اسڪرپٽ هو جيڪو هڪ لفظ دستاويز ۾ شامل ڪيو ويو هو. اهو آهي، مون کي ڊاک جي واڌ کي جعلي ڪرڻ جي به ضرورت ناهي، هي مالويئر واقعي هڪ عام نظر ايندڙ Microsoft Word دستاويز آهي. جيڪڏهن توهان دلچسپي وٺندا آهيو، مون هن نموني کي سڏيو آهي .
مون جلدي سکيو ته توهان اڪثر ڪري سڌو سنئون نه ٿا ڪري سگهو بدسلوڪي VBA اسڪرپٽ هڪ دستاويز مان ٻاهر. هيڪرز انهن کي دٻائي ڇڏيندا آهن ۽ لڪائي ڇڏيندا آهن ته جيئن اهي لفظ جي ٺاهيل ميڪرو ٽولز ۾ نظر نه اچن. ان کي ختم ڪرڻ لاء توهان کي هڪ خاص اوزار جي ضرورت پوندي. خوشقسمتيءَ سان مون کي هڪ اسڪينر ملي ويو فرينڪ بالڊون. توهان جي مهرباني، فرينڪ.
هن اوزار کي استعمال ڪندي، مون کي ٻاهر ڪڍڻ جي قابل ٿي ويو انتهائي خراب ٿيل VBA ڪوڊ. اهو ڪجهه هن طرح نظر آيو:
اهو ڪم انهن جي فيلڊ ۾ ماهرن طرفان ڪيو ويو آهي. مون کي متاثر ڪيو ويو!
حملو ڪندڙ واقعي سٺا آهن ڪوڊ کي مبهم ڪرڻ ۾، نه ته منهنجي ڪوششن وانگر Evil.doc ٺاهڻ ۾. ٺيڪ آهي، ايندڙ حصي ۾ اسان پنهنجي VBA ڊيبگرز کي ڪڍنداسين، هن ڪوڊ ۾ ٿورو وڌيڪ اونهو ۽ اسان جي تجزيو کي HA نتيجن سان ڀيٽ ڪنداسين.
جو ذريعو: www.habr.com