මෙම ලිපියෙන් අපි නොපෙනෙන අනිෂ්ට මෘදුකාංග පිළිබඳ ප්රකාශන මාලාවක් ආරම්භ කරමු. ගොනු රහිත අනවසරයෙන් ඇතුළුවීමේ වැඩසටහන්, ගොනු රහිත අනවසරයෙන් ඇතුළුවීමේ වැඩසටහන් ලෙසද හැඳින්වේ, සාමාන්යයෙන් වටිනා අන්තර්ගතයන් සෙවීමට සහ උකහා ගැනීමට විධාන නිහඬව ක්රියාත්මක කිරීමට Windows පද්ධති මත PowerShell භාවිතා කරයි. අනිෂ්ට ලිපිගොනු නොමැතිව හැකර් ක්රියාකාරකම් හඳුනා ගැනීම දුෂ්කර කාර්යයකි, මන්ද... ප්රති-වයිරස සහ වෙනත් බොහෝ හඳුනාගැනීමේ පද්ධති අත්සන විශ්ලේෂණය මත ක්රියා කරයි. නමුත් ශුභාරංචිය නම් එවැනි මෘදුකාංග පවතින බවයි. උදාහරණ වශයෙන්, , ගොනු පද්ධතිවල අනිෂ්ට ක්රියාකාරකම් හඳුනා ගැනීමට හැකියාව ඇත.
මම මුලින්ම නරක හැකර්වරුන්ගේ මාතෘකාව ගැන පර්යේෂණ කිරීමට පටන් ගත් විට, , නමුත් වින්දිතයාගේ පරිගණකයේ ඇති මෙවලම් සහ මෘදුකාංග පමණක්, මෙය ඉක්මනින්ම ප්රහාරයේ ජනප්රිය ක්රමයක් බවට පත්වනු ඇතැයි මම නොසිතුවෙමි. ආරක්ෂක වෘත්තිකයන් මෙය ප්රවණතාවයක් බවට පත්වෙමින් පවතින බවත්, සහ - මෙය තහවුරු කිරීම. එමනිසා, මෙම මාතෘකාව පිළිබඳ ප්රකාශන මාලාවක් කිරීමට මම තීරණය කළෙමි.
මහා හා බලවත් PowerShell
මම මේ අදහස් සමහරක් ගැන මීට පෙර ලියා ඇත , නමුත් වඩා න්යායික සංකල්පයක් මත පදනම් වේ. පසුව මට හමු විය , ඔබට වනයේ "අල්ලා ගත්" අනිෂ්ට මෘදුකාංගවල සාම්පල සොයා ගත හැක. ගොනු රහිත අනිෂ්ට මෘදුකාංගවල සාම්පල සොයා ගැනීමට මෙම වෙබ් අඩවිය භාවිතා කිරීමට මම තීරණය කළෙමි. ඒ වගේම මම සාර්ථක වුණා. මාර්ගය වන විට, ඔබට ඔබේම අනිෂ්ට මෘදුකාංග සෙවීමේ ගවේෂණයකට යාමට අවශ්ය නම්, ඔබට මෙම වෙබ් අඩවියෙන් සත්යාපනය කිරීමට සිදු වනු ඇත, එවිට ඔබ සුදු තොප්පි විශේෂඥයෙකු ලෙස එම කාර්යය කරන බව ඔවුන් දනී. ආරක්ෂක බ්ලොග්කරුවෙකු ලෙස, මම එය ප්රශ්න කිරීමකින් තොරව සම්මත කළෙමි. ඔබටත් හැකි බව මට විශ්වාසයි.
සාම්පල වලට අමතරව, මෙම වැඩසටහන් කරන්නේ කුමක්දැයි වෙබ් අඩවියේ ඔබට දැක ගත හැකිය. දෙමුහුන් විශ්ලේෂණ එහිම වැලිපිල්ල තුළ අනිෂ්ට මෘදුකාංග ධාවනය කරන අතර පද්ධති ඇමතුම්, ධාවන ක්රියාවලි සහ ජාල ක්රියාකාරකම් නිරීක්ෂණය කරයි, සහ සැක සහිත පෙළ තන්තු උපුටා ගනී. ද්විමය සහ අනෙකුත් ක්රියාත්මක කළ හැකි ගොනු සඳහා, i.e. ඔබට සත්ය ඉහළ මට්ටමේ කේතය දෙස බැලීමට පවා නොහැකි වූ විට, දෙමුහුන් විශ්ලේෂණය මඟින් මෘදුකාංගය අනිෂ්ටද නැතිනම් සැක සහිතද යන්න තීරණය කරන්නේ එහි ධාවන කාල ක්රියාකාරකම් මත පදනම්වය. ඊට පසු, නියැදිය දැනටමත් ඇගයීමට ලක් කර ඇත.
PowerShell සහ අනෙකුත් නියැදි ස්ක්රිප්ට් (Visual Basic, JavaScript, ආදිය) සම්බන්ධයෙන්, මට කේතයම දැකගත හැකි විය. උදාහරණයක් ලෙස, මට මෙම PowerShell අවස්ථාව හමු විය:
හඳුනාගැනීම වැළැක්වීම සඳහා ඔබට Base64 කේතනය තුළ PowerShell ධාවනය කළ හැක. අන්තර්ක්රියාකාරී නොවන සහ සැඟවුණු පරාමිති භාවිතය සැලකිල්ලට ගන්න.
ඔබ අපැහැදිලි කිරීම පිළිබඳ මගේ පළ කිරීම් කියවා ඇත්නම්, එවිට -e විකල්පය මඟින් අන්තර්ගතය base64 කේතනය කර ඇති බව සඳහන් කරන බව ඔබ දන්නවා. මාර්ගය වන විට, දෙමුහුන් විශ්ලේෂණය ද සියල්ල ආපසු විකේතනය කිරීමෙන් මේ සඳහා උපකාරී වේ. ඔබට Base64 PowerShell (මෙතැන් සිට PS ලෙසින්) විකේතනය කිරීමට උත්සාහ කිරීමට අවශ්ය නම්, ඔබට මෙම විධානය ක්රියාත්මක කළ යුතුය:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))ගැඹුරට යන්න
මම මෙම ක්රමය භාවිතයෙන් අපගේ PS ස්ක්රිප්ට් විකේතනය කළෙමි, මා විසින් මඳක් වෙනස් කළද වැඩසටහනේ පෙළ පහත දැක්වේ:
ස්ක්රිප්ට් එක 4 සැප්තැම්බර් 2017 වැනි දිනට බැඳී ඇති අතර සැසි කුකීස් සම්ප්රේෂණය කළ බව සලකන්න.
මම මේ ප්රහාරයේ විලාසය ගැන ලිව්වා , එහි base64 කේතනය කරන ලද ස්ක්රිප්ට් එක පූරණය වේ අතුරුදහන් වෙනත් වෙබ් අඩවියකින් අනිෂ්ට මෘදුකාංග, .Net Framework පුස්තකාලයේ WebClient වස්තුව භාවිතයෙන් බර ඉසිලීම සිදු කරයි.
මෙය කුමක් සඳහා ද?
වින්ඩෝස් සිදුවීම් ලොග හෝ ෆයර්වෝල් පරිලෝකනය කරන ආරක්ෂිත මෘදුකාංග සඳහා, එවැනි වෙබ් ඉල්ලීමක් කිරීමෙන් ආරක්ෂා වීම සඳහා "WebClient" තන්තුව සරල පෙළ රටාවකින් අනාවරණය කර ගැනීමෙන් base64 කේතනය වළක්වයි. අනිෂ්ට මෘදුකාංගයේ සියලුම "නපුරු" බාගත කර අපගේ PowerShell වෙත යවනු ලබන බැවින්, මෙම ප්රවේශය මඟින් හඳුනාගැනීමෙන් සම්පූර්ණයෙන්ම වැළකී සිටීමට අපට ඉඩ සලසයි. එහෙම නැත්තම් මම මුලින් හිතුවේ එහෙමයි.
Windows PowerShell Advanced Logging සක්රීය කර ඇති බව පෙනේ (මගේ ලිපිය බලන්න), ඔබට සිදුවීම් ලොගයේ පටවන ලද රේඛාව දැකගත හැකි වනු ඇත. මට ඒ වගේ වෙමි ) මම හිතන්නේ මයික්රොසොෆ්ට් විසින් පෙරනිමියෙන් මෙම මට්ටමේ ලොග් වීම සක්රීය කළ යුතුය. එබැවින්, විස්තීර්ණ ලොග් කිරීම සක්රීය කර ඇති විට, අපි ඉහත සාකච්ඡා කළ උදාහරණයට අනුව PS ස්ක්රිප්ට් එකකින් සම්පුර්ණ කරන ලද බාගත කිරීමේ ඉල්ලීමක් වින්ඩෝස් සිදුවීම් ලොගය තුළ අපට පෙනෙනු ඇත. එමනිසා, එය සක්රිය කිරීම අර්ථවත් කරයි, ඔබ එකඟ නොවන්නේද?
අපි අමතර අවස්ථා එකතු කරමු
විෂුවල් බේසික් සහ අනෙකුත් ස්ක්රිප්ටින් භාෂාවලින් ලියා ඇති මයික්රොසොෆ්ට් ඔෆිස් මැක්රෝස් තුළ හැකර්වරු පවර්ෂෙල් ප්රහාර දක්ෂ ලෙස සඟවයි. අදහස නම්, වින්දිතයාට පණිවිඩයක් ලැබෙනු ඇත, උදාහරණයක් ලෙස බෙදා හැරීමේ සේවාවකින්, .doc ආකෘතියෙන් අමුණා ඇති වාර්තාවක් සමඟ. ඔබ සාර්ව අඩංගු මෙම ලේඛනය විවෘත කරන අතර, එය අනිෂ්ට PowerShell දියත් කරයි.
බොහෝ විට විෂුවල් බේසික් ස්ක්රිප්ට්ම අපැහැදිලි වන අතර එමඟින් ප්රති-වයිරස සහ අනෙකුත් අනිෂ්ට මෘදුකාංග ස්කෑනර් වලින් නිදහසේ මග හැරේ. ඉහත කරුණු අනුව, මම අභ්යාසයක් ලෙස ඉහත PowerShell JavaScript හි කේත කිරීමට තීරණය කළෙමි. මගේ කාර්යයේ ප්රතිඵල පහත දැක්වේ.
අපැහැදිලි JavaScript අපගේ PowerShell සඟවයි. සැබෑ හැකර්වරුන් මෙය වරක් හෝ දෙවරක් කරයි.
මෙය වෙබය පුරා පාවෙන මා දුටු තවත් තාක්ෂණයකි: කේතගත PowerShell ධාවනය කිරීමට Wscript.Shell භාවිතා කිරීම. මාර්ගය වන විට, JavaScript ම වේ අනිෂ්ට මෘදුකාංග බෙදා හැරීම. වින්ඩෝස් හි බොහෝ අනුවාද ගොඩනඟා ඇත , එයම JS ධාවනය කළ හැකිය.
අපගේ නඩුවේදී, අනිෂ්ට JS ස්ක්රිප්ට් එක .doc.js දිගුව සමඟ ගොනුවක් ලෙස තැන්පත් කර ඇත. වින්ඩෝස් සාමාන්යයෙන් පළමු උපසර්ගය පමණක් පෙන්වනු ඇත, එබැවින් එය වර්ඩ් ලේඛනයක් ලෙස ගොදුරට දිස්වනු ඇත.
JS නිරූපකය දිස්වන්නේ අනුචලන නිරූපකයේ පමණි. බොහෝ අය මෙම ඇමුණුම Word Document එකක් යැයි සිතා විවෘත කිරීම පුදුමයක් නොවේ.
මගේ උදාහරණයේදී, මම මගේ වෙබ් අඩවියෙන් ස්ක්රිප්ට් බාගත කිරීම සඳහා ඉහත PowerShell වෙනස් කළෙමි. දුරස්ථ PS ස්ක්රිප්ට් එක "Evil Malware" මුද්රණය කරයි. ඔබට පෙනෙන පරිදි, ඔහු කිසිසේත් නරක නැත. ඇත්ත වශයෙන්ම, සැබෑ හැකර්වරුන් ලැප්ටොප් පරිගණකයක් හෝ සේවාදායකයක් වෙත ප්රවේශය ලබා ගැනීමට උනන්දු වෙති, කියන්න, විධාන කවචයක් හරහා. මීළඟ ලිපියෙන් මම PowerShell Empire භාවිතයෙන් මෙය කරන්නේ කෙසේදැයි ඔබට පෙන්වන්නම්.
පළමු හඳුන්වාදීමේ ලිපිය සඳහා අපි මාතෘකාවට ගැඹුරින් කිමිදෙන්නේ නැතැයි මම බලාපොරොත්තු වෙමි. දැන් මම ඔබට හුස්මක් ගැනීමට ඉඩ දෙන්නෙමි, ඊළඟ වතාවේ අපි අනවශ්ය හඳුන්වාදීමේ වචන හෝ සූදානමකින් තොරව ගොනු රහිත අනිෂ්ට මෘදුකාංග භාවිතයෙන් ප්රහාරවල සැබෑ උදාහරණ දෙස බැලීමට පටන් ගනිමු.
මූලාශ්රය: www.habr.com