මෙම ලිපියෙන් අපි නොපෙනෙන අනිෂ්ට මෘදුකාංග පිළිබඳ ප්රකාශන මාලාවක් ආරම්භ කරමු. ගොනු රහිත අනවසරයෙන් ඇතුළුවීමේ වැඩසටහන්, ගොනු රහිත අනවසරයෙන් ඇතුළුවීමේ වැඩසටහන් ලෙසද හැඳින්වේ, සාමාන්යයෙන් වටිනා අන්තර්ගතයන් සෙවීමට සහ උකහා ගැනීමට විධාන නිහඬව ක්රියාත්මක කිරීමට Windows පද්ධති මත PowerShell භාවිතා කරයි. අනිෂ්ට ලිපිගොනු නොමැතිව හැකර් ක්රියාකාරකම් හඳුනා ගැනීම දුෂ්කර කාර්යයකි, මන්ද... ප්රති-වයිරස සහ වෙනත් බොහෝ හඳුනාගැනීමේ පද්ධති අත්සන විශ්ලේෂණය මත ක්රියා කරයි. නමුත් ශුභාරංචිය නම් එවැනි මෘදුකාංග පවතින බවයි. උදාහරණ වශයෙන්,
මම මුලින්ම නරක හැකර්වරුන්ගේ මාතෘකාව ගැන පර්යේෂණ කිරීමට පටන් ගත් විට,
මහා හා බලවත් PowerShell
මම මේ අදහස් සමහරක් ගැන මීට පෙර ලියා ඇත
සාම්පල වලට අමතරව, මෙම වැඩසටහන් කරන්නේ කුමක්දැයි වෙබ් අඩවියේ ඔබට දැක ගත හැකිය. දෙමුහුන් විශ්ලේෂණ එහිම වැලිපිල්ල තුළ අනිෂ්ට මෘදුකාංග ධාවනය කරන අතර පද්ධති ඇමතුම්, ධාවන ක්රියාවලි සහ ජාල ක්රියාකාරකම් නිරීක්ෂණය කරයි, සහ සැක සහිත පෙළ තන්තු උපුටා ගනී. ද්විමය සහ අනෙකුත් ක්රියාත්මක කළ හැකි ගොනු සඳහා, i.e. ඔබට සත්ය ඉහළ මට්ටමේ කේතය දෙස බැලීමට පවා නොහැකි වූ විට, දෙමුහුන් විශ්ලේෂණය මඟින් මෘදුකාංගය අනිෂ්ටද නැතිනම් සැක සහිතද යන්න තීරණය කරන්නේ එහි ධාවන කාල ක්රියාකාරකම් මත පදනම්වය. ඊට පසු, නියැදිය දැනටමත් ඇගයීමට ලක් කර ඇත.
PowerShell සහ අනෙකුත් නියැදි ස්ක්රිප්ට් (Visual Basic, JavaScript, ආදිය) සම්බන්ධයෙන්, මට කේතයම දැකගත හැකි විය. උදාහරණයක් ලෙස, මට මෙම PowerShell අවස්ථාව හමු විය:
හඳුනාගැනීම වැළැක්වීම සඳහා ඔබට Base64 කේතනය තුළ PowerShell ධාවනය කළ හැක. අන්තර්ක්රියාකාරී නොවන සහ සැඟවුණු පරාමිති භාවිතය සැලකිල්ලට ගන්න.
ඔබ අපැහැදිලි කිරීම පිළිබඳ මගේ පළ කිරීම් කියවා ඇත්නම්, එවිට -e විකල්පය මඟින් අන්තර්ගතය base64 කේතනය කර ඇති බව සඳහන් කරන බව ඔබ දන්නවා. මාර්ගය වන විට, දෙමුහුන් විශ්ලේෂණය ද සියල්ල ආපසු විකේතනය කිරීමෙන් මේ සඳහා උපකාරී වේ. ඔබට Base64 PowerShell (මෙතැන් සිට PS ලෙසින්) විකේතනය කිරීමට උත්සාහ කිරීමට අවශ්ය නම්, ඔබට මෙම විධානය ක්රියාත්මක කළ යුතුය:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
ගැඹුරට යන්න
මම මෙම ක්රමය භාවිතයෙන් අපගේ PS ස්ක්රිප්ට් විකේතනය කළෙමි, මා විසින් මඳක් වෙනස් කළද වැඩසටහනේ පෙළ පහත දැක්වේ:
ස්ක්රිප්ට් එක 4 සැප්තැම්බර් 2017 වැනි දිනට බැඳී ඇති අතර සැසි කුකීස් සම්ප්රේෂණය කළ බව සලකන්න.
මම මේ ප්රහාරයේ විලාසය ගැන ලිව්වා
මෙය කුමක් සඳහා ද?
වින්ඩෝස් සිදුවීම් ලොග හෝ ෆයර්වෝල් පරිලෝකනය කරන ආරක්ෂිත මෘදුකාංග සඳහා, එවැනි වෙබ් ඉල්ලීමක් කිරීමෙන් ආරක්ෂා වීම සඳහා "WebClient" තන්තුව සරල පෙළ රටාවකින් අනාවරණය කර ගැනීමෙන් base64 කේතනය වළක්වයි. අනිෂ්ට මෘදුකාංගයේ සියලුම "නපුරු" බාගත කර අපගේ PowerShell වෙත යවනු ලබන බැවින්, මෙම ප්රවේශය මඟින් හඳුනාගැනීමෙන් සම්පූර්ණයෙන්ම වැළකී සිටීමට අපට ඉඩ සලසයි. එහෙම නැත්තම් මම මුලින් හිතුවේ එහෙමයි.
Windows PowerShell Advanced Logging සක්රීය කර ඇති බව පෙනේ (මගේ ලිපිය බලන්න), ඔබට සිදුවීම් ලොගයේ පටවන ලද රේඛාව දැකගත හැකි වනු ඇත. මට ඒ වගේ වෙමි
අපි අමතර අවස්ථා එකතු කරමු
විෂුවල් බේසික් සහ අනෙකුත් ස්ක්රිප්ටින් භාෂාවලින් ලියා ඇති මයික්රොසොෆ්ට් ඔෆිස් මැක්රෝස් තුළ හැකර්වරු පවර්ෂෙල් ප්රහාර දක්ෂ ලෙස සඟවයි. අදහස නම්, වින්දිතයාට පණිවිඩයක් ලැබෙනු ඇත, උදාහරණයක් ලෙස බෙදා හැරීමේ සේවාවකින්, .doc ආකෘතියෙන් අමුණා ඇති වාර්තාවක් සමඟ. ඔබ සාර්ව අඩංගු මෙම ලේඛනය විවෘත කරන අතර, එය අනිෂ්ට PowerShell දියත් කරයි.
බොහෝ විට විෂුවල් බේසික් ස්ක්රිප්ට්ම අපැහැදිලි වන අතර එමඟින් ප්රති-වයිරස සහ අනෙකුත් අනිෂ්ට මෘදුකාංග ස්කෑනර් වලින් නිදහසේ මග හැරේ. ඉහත කරුණු අනුව, මම අභ්යාසයක් ලෙස ඉහත PowerShell JavaScript හි කේත කිරීමට තීරණය කළෙමි. මගේ කාර්යයේ ප්රතිඵල පහත දැක්වේ.
අපැහැදිලි JavaScript අපගේ PowerShell සඟවයි. සැබෑ හැකර්වරුන් මෙය වරක් හෝ දෙවරක් කරයි.
මෙය වෙබය පුරා පාවෙන මා දුටු තවත් තාක්ෂණයකි: කේතගත PowerShell ධාවනය කිරීමට Wscript.Shell භාවිතා කිරීම. මාර්ගය වන විට, JavaScript ම වේ
අපගේ නඩුවේදී, අනිෂ්ට JS ස්ක්රිප්ට් එක .doc.js දිගුව සමඟ ගොනුවක් ලෙස තැන්පත් කර ඇත. වින්ඩෝස් සාමාන්යයෙන් පළමු උපසර්ගය පමණක් පෙන්වනු ඇත, එබැවින් එය වර්ඩ් ලේඛනයක් ලෙස ගොදුරට දිස්වනු ඇත.
JS නිරූපකය දිස්වන්නේ අනුචලන නිරූපකයේ පමණි. බොහෝ අය මෙම ඇමුණුම Word Document එකක් යැයි සිතා විවෘත කිරීම පුදුමයක් නොවේ.
මගේ උදාහරණයේදී, මම මගේ වෙබ් අඩවියෙන් ස්ක්රිප්ට් බාගත කිරීම සඳහා ඉහත PowerShell වෙනස් කළෙමි. දුරස්ථ PS ස්ක්රිප්ට් එක "Evil Malware" මුද්රණය කරයි. ඔබට පෙනෙන පරිදි, ඔහු කිසිසේත් නරක නැත. ඇත්ත වශයෙන්ම, සැබෑ හැකර්වරුන් ලැප්ටොප් පරිගණකයක් හෝ සේවාදායකයක් වෙත ප්රවේශය ලබා ගැනීමට උනන්දු වෙති, කියන්න, විධාන කවචයක් හරහා. මීළඟ ලිපියෙන් මම PowerShell Empire භාවිතයෙන් මෙය කරන්නේ කෙසේදැයි ඔබට පෙන්වන්නම්.
පළමු හඳුන්වාදීමේ ලිපිය සඳහා අපි මාතෘකාවට ගැඹුරින් කිමිදෙන්නේ නැතැයි මම බලාපොරොත්තු වෙමි. දැන් මම ඔබට හුස්මක් ගැනීමට ඉඩ දෙන්නෙමි, ඊළඟ වතාවේ අපි අනවශ්ය හඳුන්වාදීමේ වචන හෝ සූදානමකින් තොරව ගොනු රහිත අනිෂ්ට මෘදුකාංග භාවිතයෙන් ප්රහාරවල සැබෑ උදාහරණ දෙස බැලීමට පටන් ගනිමු.
මූලාශ්රය: www.habr.com