இந்தக் கட்டுரையின் மூலம் மழுப்பலான தீம்பொருளைப் பற்றிய தொடர் வெளியீடுகளைத் தொடங்குகிறோம். ஃபைல்லெஸ் ஹேக்கிங் புரோகிராம்கள், ஃபைல்லெஸ் ஹேக்கிங் புரோகிராம்கள் என்றும் அழைக்கப்படும், பொதுவாக விண்டோஸ் சிஸ்டங்களில் பவர்ஷெல்லைப் பயன்படுத்தி, மதிப்புமிக்க உள்ளடக்கத்தைத் தேடவும் பிரித்தெடுக்கவும் கட்டளைகளை அமைதியாக இயக்கவும். தீங்கிழைக்கும் கோப்புகள் இல்லாமல் ஹேக்கர் செயல்பாட்டைக் கண்டறிவது கடினமான பணியாகும், ஏனெனில்... வைரஸ் தடுப்பு மற்றும் பல கண்டறிதல் அமைப்புகள் கையெழுத்து பகுப்பாய்வு அடிப்படையில் வேலை செய்கின்றன. ஆனால் நல்ல செய்தி என்னவென்றால், அத்தகைய மென்பொருள் உள்ளது. உதாரணத்திற்கு,
பேடாஸ் ஹேக்கர்கள் என்ற தலைப்பை நான் முதலில் ஆராய ஆரம்பித்தபோது
பெரிய மற்றும் சக்திவாய்ந்த பவர்ஷெல்
இந்த யோசனைகளில் சிலவற்றை நான் முன்பே எழுதியுள்ளேன்
மாதிரிகளைத் தவிர, இந்த நிரல்கள் என்ன செய்கின்றன என்பதை தளத்தில் காணலாம். கலப்பின பகுப்பாய்வு அதன் சொந்த சாண்ட்பாக்ஸில் தீம்பொருளை இயக்குகிறது மற்றும் கணினி அழைப்புகள், இயங்கும் செயல்முறைகள் மற்றும் நெட்வொர்க் செயல்பாடுகளை கண்காணிக்கிறது மற்றும் சந்தேகத்திற்குரிய உரை சரங்களை பிரித்தெடுக்கிறது. பைனரிகள் மற்றும் பிற இயங்கக்கூடிய கோப்புகளுக்கு, அதாவது. நீங்கள் உண்மையான உயர்நிலைக் குறியீட்டைப் பார்க்க முடியாத இடத்தில், மென்பொருளானது அதன் இயக்க நேரச் செயல்பாட்டின் அடிப்படையில் தீங்கிழைக்கும் அல்லது சந்தேகத்திற்குரியதா என்பதை கலப்பின பகுப்பாய்வு தீர்மானிக்கிறது. அதன் பிறகு மாதிரி ஏற்கனவே மதிப்பீடு செய்யப்பட்டுள்ளது.
பவர்ஷெல் மற்றும் பிற மாதிரி ஸ்கிரிப்ட்களில் (விஷுவல் பேசிக், ஜாவாஸ்கிரிப்ட் போன்றவை), குறியீட்டையே பார்க்க முடிந்தது. உதாரணமாக, நான் இந்த PowerShell நிகழ்வைக் கண்டேன்:
கண்டறிதலைத் தவிர்க்க, நீங்கள் பவர்ஷெல்லை base64 குறியாக்கத்திலும் இயக்கலாம். செயலற்ற மற்றும் மறைக்கப்பட்ட அளவுருக்களைப் பயன்படுத்துவதைக் கவனியுங்கள்.
தெளிவின்மை பற்றிய எனது இடுகைகளை நீங்கள் படித்திருந்தால், -e விருப்பமானது, அடிப்படை64 குறியாக்கம் செய்யப்பட்ட உள்ளடக்கத்தைக் குறிப்பிடுகிறது என்பதை நீங்கள் அறிவீர்கள். மூலம், கலப்பின பகுப்பாய்வு எல்லாவற்றையும் மீண்டும் டிகோட் செய்வதன் மூலம் இதற்கு உதவுகிறது. நீங்கள் base64 PowerShell ஐ டிகோடிங் செய்ய விரும்பினால் (இனி PS என குறிப்பிடப்படுகிறது) நீங்கள் இந்த கட்டளையை இயக்க வேண்டும்:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
ஆழமாக செல்லுங்கள்
நான் இந்த முறையைப் பயன்படுத்தி எங்கள் PS ஸ்கிரிப்டை டீகோட் செய்தேன், நிரலின் உரை கீழே உள்ளது, நான் சிறிது மாற்றியமைத்திருந்தாலும்:
ஸ்கிரிப்ட் செப்டம்பர் 4, 2017 தேதியுடன் இணைக்கப்பட்டு அமர்வு குக்கீகளை அனுப்பியது என்பதை நினைவில் கொள்ளவும்.
இந்த தாக்குதல் பாணியைப் பற்றி நான் எழுதினேன்
அது என்ன?
விண்டோஸ் நிகழ்வு பதிவுகள் அல்லது ஃபயர்வால்களை ஸ்கேன் செய்யும் பாதுகாப்பு மென்பொருளுக்கு, பேஸ்64 குறியாக்கம் "WebClient" என்ற சரத்தை ஒரு எளிய உரை வடிவத்தால் கண்டறியப்படுவதைத் தடுக்கிறது. தீம்பொருளின் அனைத்து "தீமைகளும்" பதிவிறக்கம் செய்யப்பட்டு எங்கள் பவர்ஷெல்லுக்கு அனுப்பப்படுவதால், இந்த அணுகுமுறை கண்டறியப்படுவதை முற்றிலும் தவிர்க்க அனுமதிக்கிறது. அல்லது அதைத்தான் முதலில் நினைத்தேன்.
விண்டோஸ் பவர்ஷெல் மேம்பட்ட லாக்கிங் இயக்கப்பட்டால் (எனது கட்டுரையைப் பார்க்கவும்), நிகழ்வு பதிவில் ஏற்றப்பட்ட வரியை நீங்கள் காண முடியும். நான் அப்படித்தான்
கூடுதல் காட்சிகளைச் சேர்ப்போம்
விஷுவல் பேசிக் மற்றும் பிற ஸ்கிரிப்டிங் மொழிகளில் எழுதப்பட்ட மைக்ரோசாஃப்ட் ஆபிஸ் மேக்ரோக்களில் பவர்ஷெல் தாக்குதல்களை ஹேக்கர்கள் புத்திசாலித்தனமாக மறைக்கிறார்கள். பாதிக்கப்பட்டவர் ஒரு செய்தியைப் பெறுகிறார், எடுத்துக்காட்டாக, டெலிவரி சேவையிலிருந்து, .doc வடிவத்தில் இணைக்கப்பட்ட அறிக்கையுடன். மேக்ரோவைக் கொண்ட இந்த ஆவணத்தைத் திறக்கிறீர்கள், அது தீங்கிழைக்கும் PowerShell ஐத் தொடங்கும்.
பெரும்பாலும் விஷுவல் பேசிக் ஸ்கிரிப்ட் குழப்பமடைகிறது, இதனால் அது வைரஸ் தடுப்பு மற்றும் பிற மால்வேர் ஸ்கேனர்களை சுதந்திரமாக தவிர்க்கிறது. மேற்கூறியவற்றின் உணர்வில், மேலே உள்ள PowerShell ஐ ஒரு பயிற்சியாக ஜாவாஸ்கிரிப்ட்டில் குறியிட முடிவு செய்தேன். எனது பணியின் முடிவுகள் கீழே உள்ளன:
எங்கள் பவர்ஷெல் மறைக்கப்பட்ட ஜாவாஸ்கிரிப்ட். உண்மையான ஹேக்கர்கள் இதை ஒன்று அல்லது இரண்டு முறை செய்கிறார்கள்.
இது இணையத்தில் மிதப்பதை நான் பார்த்த மற்றொரு நுட்பமாகும்: குறியிடப்பட்ட PowerShell ஐ இயக்க Wscript.Shell ஐப் பயன்படுத்துதல். மூலம், ஜாவாஸ்கிரிப்ட் தான்
எங்கள் விஷயத்தில், தீங்கிழைக்கும் JS ஸ்கிரிப்ட் .doc.js நீட்டிப்புடன் ஒரு கோப்பாக உட்பொதிக்கப்பட்டுள்ளது. விண்டோஸ் பொதுவாக முதல் பின்னொட்டை மட்டுமே காண்பிக்கும், எனவே இது ஒரு வேர்ட் ஆவணமாக பாதிக்கப்பட்டவருக்குத் தோன்றும்.
JS ஐகான் உருள் ஐகானில் மட்டுமே தோன்றும். பலர் இந்த அட்டாச்மென்ட்டை வேர்ட் டாகுமெண்ட் என்று நினைத்து திறப்பதில் ஆச்சரியமில்லை.
எனது எடுத்துக்காட்டில், எனது வலைத்தளத்திலிருந்து ஸ்கிரிப்டைப் பதிவிறக்க மேலே உள்ள PowerShell ஐ மாற்றியமைத்தேன். ரிமோட் PS ஸ்கிரிப்ட் "தீய மால்வேரை" அச்சிடுகிறது. நீங்கள் பார்ப்பது போல், அவர் கெட்டவர் அல்ல. நிச்சயமாக, உண்மையான ஹேக்கர்கள் ஒரு மடிக்கணினி அல்லது சேவையகத்திற்கான அணுகலைப் பெற ஆர்வமாக உள்ளனர், அதாவது, கட்டளை ஷெல் மூலம். அடுத்த கட்டுரையில், PowerShell Empire ஐப் பயன்படுத்தி இதை எப்படி செய்வது என்று நான் உங்களுக்குக் காண்பிப்பேன்.
முதல் அறிமுகக் கட்டுரைக்கு நாங்கள் தலைப்பில் ஆழமாக மூழ்கவில்லை என்று நம்புகிறேன். இப்போது நான் உங்களுக்கு மூச்சு விடுகிறேன், அடுத்த முறை தேவையற்ற அறிமுக வார்த்தைகள் அல்லது தயாரிப்பு இல்லாமல் கோப்பு இல்லாத தீம்பொருளைப் பயன்படுத்தி தாக்குதல்களின் உண்மையான எடுத்துக்காட்டுகளைப் பார்க்கத் தொடங்குவோம்.
ஆதாரம்: www.habr.com