இந்தக் கட்டுரை கோப்பு இல்லாத மால்வேர் தொடரின் ஒரு பகுதியாகும். தொடரின் மற்ற அனைத்து பகுதிகளும்:
- அட்வென்ச்சர்ஸ் ஆஃப் தி எலுசிவ் மால்வேர், பகுதி II: மறைக்கப்பட்ட VBA ஸ்கிரிப்டுகள் (நாங்கள் இங்கே இருக்கிறோம்)
நான் தளத்தின் ரசிகன் (கலப்பின பகுப்பாய்வு, இனி HA). இது ஒரு வகையான தீம்பொருள் மிருகக்காட்சிசாலையாகும், அங்கு நீங்கள் தாக்கப்படாமல் பாதுகாப்பான தூரத்தில் இருந்து காட்டு "வேட்டையாடுபவர்களை" பாதுகாப்பாக கண்காணிக்க முடியும். HA பாதுகாப்பான சூழலில் மால்வேரை இயக்குகிறது, கணினி அழைப்புகளைப் பதிவுசெய்கிறது, உருவாக்கப்பட்ட கோப்புகள் மற்றும் இணையப் போக்குவரத்தைப் பதிவுசெய்கிறது, மேலும் அது பகுப்பாய்வு செய்யும் ஒவ்வொரு மாதிரிக்கும் இந்த முடிவுகள் அனைத்தையும் உங்களுக்கு வழங்குகிறது. இந்த வழியில், குழப்பமான குறியீட்டை நீங்களே கண்டுபிடிக்க முயற்சிப்பதில் உங்கள் நேரத்தையும் சக்தியையும் வீணாக்க வேண்டியதில்லை, ஆனால் ஹேக்கர்களின் அனைத்து நோக்கங்களையும் உடனடியாக புரிந்து கொள்ள முடியும்.
எனது கவனத்தை ஈர்த்த HA எடுத்துக்காட்டுகள், குறியிடப்பட்ட JavaScript அல்லது Visual Basic for Applications (VBA) ஸ்கிரிப்ட்களை வேர்ட் அல்லது எக்செல் ஆவணங்களில் மேக்ரோக்களாக உட்பொதித்து ஃபிஷிங் மின்னஞ்சல்களுடன் இணைக்கப்பட்டுள்ளது. திறக்கும் போது, இந்த மேக்ரோக்கள் பாதிக்கப்பட்டவரின் கணினியில் PowerShell அமர்வைத் தொடங்கும். ஹேக்கர்கள் பொதுவாக Base64 குறியிடப்பட்ட ஸ்ட்ரீம் கட்டளைகளை PowerShell க்கு அனுப்புவார்கள். சில முக்கிய வார்த்தைகளுக்கு பதிலளிக்கும் வலை வடிப்பான்கள் மற்றும் வைரஸ் தடுப்பு மென்பொருள் மூலம் தாக்குதலைக் கண்டறிவதை கடினமாக்குவதற்காக இவை அனைத்தும் செய்யப்படுகின்றன.
அதிர்ஷ்டவசமாக, HA தானாகவே Base64 ஐ டிகோட் செய்து, அனைத்தையும் உடனடியாக படிக்கக்கூடிய வடிவத்தில் காண்பிக்கும். முக்கியமாக, இந்த ஸ்கிரிப்டுகள் எவ்வாறு செயல்படுகின்றன என்பதில் நீங்கள் கவனம் செலுத்த வேண்டியதில்லை, ஏனெனில் HA இன் தொடர்புடைய பிரிவில் இயங்கும் செயல்முறைகளுக்கான முழு கட்டளை வெளியீட்டையும் நீங்கள் காண முடியும். கீழே உள்ள உதாரணத்தைப் பார்க்கவும்:
பவர்ஷெல்லுக்கு அனுப்பப்பட்ட Base64 குறியிடப்பட்ட கட்டளைகளை கலப்பின பகுப்பாய்வு குறுக்கிடுகிறது:
...பின்னர் உங்களுக்காக அவற்றை டிகோட் செய்கிறது. #மந்திரமாக
В பவர்ஷெல் அமர்வை இயக்க, எனது சொந்த சற்றே தெளிவற்ற ஜாவாஸ்கிரிப்ட் கொள்கலனை உருவாக்கினேன். எனது ஸ்கிரிப்ட், பல பவர்ஷெல் அடிப்படையிலான மால்வேர்களைப் போலவே, பின் வரும் பவர்ஷெல் ஸ்கிரிப்டை ரிமோட் இணையதளத்திலிருந்து பதிவிறக்குகிறது. பின்னர், உதாரணமாக, திரையில் ஒரு செய்தியை அச்சிட்ட பாதிப்பில்லாத PS ஐ ஏற்றினேன். ஆனால் காலங்கள் மாறிக்கொண்டிருக்கின்றன, இப்போது நான் சூழ்நிலையை சிக்கலாக்க முன்மொழிகிறேன்.
பவர்ஷெல் பேரரசு மற்றும் தலைகீழ் ஷெல்
இந்த பயிற்சியின் குறிக்கோள்களில் ஒன்று, கிளாசிக் சுற்றளவு பாதுகாப்பு மற்றும் வைரஸ் தடுப்புகளை எவ்வாறு (ஒப்பீட்டளவில்) எளிதாக ஹேக்கர் கடந்து செல்ல முடியும் என்பதைக் காண்பிப்பதாகும். நிரலாக்கத் திறன் இல்லாத ஒரு ஐடி பதிவர், என்னைப் போலவே, இரண்டு மாலைகளில் அதைச் செய்ய முடியும் (முழுமையாக கண்டறியப்படவில்லை, FUD), இதில் ஆர்வமுள்ள ஒரு இளம் ஹேக்கரின் திறன்களை கற்பனை செய்து பாருங்கள்!
நீங்கள் IT பாதுகாப்பு வழங்குநராக இருந்தால், இந்த அச்சுறுத்தல்களின் சாத்தியமான விளைவுகளைப் பற்றி உங்கள் மேலாளருக்குத் தெரியவில்லை என்றால், இந்தக் கட்டுரையை அவருக்குக் காட்டுங்கள்.
பாதிக்கப்பட்டவரின் மடிக்கணினி அல்லது சேவையகத்திற்கு நேரடி அணுகலைப் பெற ஹேக்கர்கள் கனவு காண்கிறார்கள். இதைச் செய்வது மிகவும் எளிது: ஒரு ஹேக்கர் செய்ய வேண்டியது CEO இன் லேப்டாப்பில் சில ரகசிய கோப்புகளைப் பெறுவதுதான்.
எப்படியோ நான் ஏற்கனவே பவர்ஷெல் எம்பயர் பிந்தைய தயாரிப்பு இயக்க நேரம் பற்றி. அது என்ன என்பதை நினைவில் கொள்வோம்.
இது அடிப்படையில் ஒரு பவர்ஷெல் அடிப்படையிலான ஊடுருவல் சோதனைக் கருவியாகும், இது பல அம்சங்களுடன், தலைகீழ் ஷெல்லை எளிதாக இயக்க அனுமதிக்கிறது. நீங்கள் அதை இன்னும் விரிவாக படிக்கலாம் .
ஒரு சிறிய பரிசோதனை செய்வோம். அமேசான் வலை சேவைகள் கிளவுட்டில் பாதுகாப்பான மால்வேர் சோதனை சூழலை அமைத்துள்ளேன். இந்த பாதிப்பின் செயல்பாட்டு உதாரணத்தை விரைவாகவும் பாதுகாப்பாகவும் காட்ட நீங்கள் எனது உதாரணத்தைப் பின்பற்றலாம் (மற்றும் நிறுவன சுற்றளவிற்குள் வைரஸ்களை இயக்குவதால் நீக்கப்படக்கூடாது).
நீங்கள் பவர்ஷெல் எம்பயர் கன்சோலைத் தொடங்கினால், இது போன்ற ஒன்றை நீங்கள் காண்பீர்கள்:
முதலில் உங்கள் ஹேக்கர் கணினியில் கேட்பவர் செயல்முறையைத் தொடங்குங்கள். "கேட்பவர்" கட்டளையை உள்ளிடவும், மேலும் "செட் ஹோஸ்ட்" ஐப் பயன்படுத்தி உங்கள் கணினியின் ஐபி முகவரியைக் குறிப்பிடவும். பின்னர் "செயல்படுத்து" கட்டளையுடன் (கீழே) கேட்பவர் செயல்முறையைத் தொடங்கவும். எனவே, உங்கள் பங்கில், ரிமோட் ஷெல்லில் இருந்து பிணைய இணைப்புக்காக நீங்கள் காத்திருக்கத் தொடங்குவீர்கள்:
மறுபுறம், "லாஞ்சர்" கட்டளையை உள்ளிடுவதன் மூலம் நீங்கள் ஒரு முகவர் குறியீட்டை உருவாக்க வேண்டும் (கீழே காண்க). இது ரிமோட் ஏஜென்ட்டுக்கான பவர்ஷெல் குறியீட்டை உருவாக்கும். இது Base64 இல் குறியாக்கம் செய்யப்பட்டுள்ளது மற்றும் பேலோடின் இரண்டாம் கட்டத்தைக் குறிக்கிறது. வேறு வார்த்தைகளில் கூறுவதானால், எனது ஜாவாஸ்கிரிப்ட் குறியீடு இப்போது பவர்ஷெல்லை இயக்குவதற்கு இந்த முகவரை இழுக்கும், மேலும் திரையில் உரையை பாதிப்பில்லாமல் அச்சிடுவதற்குப் பதிலாக, ரிவர்ஸ் ஷெல்லை இயக்க எங்கள் ரிமோட் பிஎஸ்இ சேவையகத்துடன் இணைக்கப்படும்.
தலைகீழ் ஷெல் மந்திரம். இந்த குறியிடப்பட்ட பவர்ஷெல் கட்டளை எனது கேட்பவருடன் இணைக்கப்பட்டு ரிமோட் ஷெல்லைத் தொடங்கும்.
இந்த பரிசோதனையை உங்களுக்கு காட்ட, நான் அப்பாவி பாதிக்கப்பட்டவரின் பாத்திரத்தை ஏற்று, Evil.doc ஐ திறந்து, அதன் மூலம் எங்கள் ஜாவாஸ்கிரிப்டை அறிமுகப்படுத்தினேன். முதல் பகுதி நினைவிருக்கிறதா? பவர்ஷெல் அதன் சாளரம் தோன்றுவதைத் தடுக்க கட்டமைக்கப்பட்டுள்ளது, எனவே பாதிக்கப்பட்டவர் அசாதாரணமான எதையும் கவனிக்க மாட்டார். இருப்பினும், நீங்கள் Windows Task Managerஐத் திறந்தால், பெரும்பாலான மக்களுக்கு எப்படியும் எந்த அலாரத்தையும் ஏற்படுத்தாத பின்னணி PowerShell செயல்முறையைக் காண்பீர்கள். ஏனெனில் இது வழக்கமான பவர்ஷெல், இல்லையா?
இப்போது நீங்கள் Evil.doc ஐ இயக்கும் போது, மறைக்கப்பட்ட பின்னணி செயல்முறை PowerShell Empire இயங்கும் சேவையகத்துடன் இணைக்கப்படும். எனது வெள்ளை பெண்டெஸ்டர் ஹேக்கர் தொப்பியை அணிந்துகொண்டு, நான் பவர்ஷெல் எம்பயர் கன்சோலுக்குத் திரும்பினேன், இப்போது எனது ரிமோட் ஏஜென்ட் செயலில் இருப்பதாக ஒரு செய்தியைப் பார்க்கிறேன்.
நான் PSE இல் ஒரு ஷெல் திறக்க "இன்டராக்ட்" கட்டளையை உள்ளிட்டேன் - நான் அங்கே இருந்தேன்! சுருக்கமாக, நானே அமைத்த டகோ சர்வரை ஒரு முறை ஹேக் செய்தேன்.
நான் நிரூபித்தது உங்கள் பங்கிற்கு அவ்வளவு வேலை தேவையில்லை. உங்களின் தகவல் பாதுகாப்பு அறிவை மேம்படுத்த, ஒன்று அல்லது இரண்டு மணி நேரம் மதிய உணவு இடைவேளையின் போது இதையெல்லாம் எளிதாகச் செய்யலாம். உங்கள் வெளிப்புற பாதுகாப்பு சுற்றளவை ஹேக்கர்கள் எவ்வாறு கடந்து உங்கள் கணினிகளுக்குள் நுழைகிறார்கள் என்பதைப் புரிந்துகொள்வதற்கான சிறந்த வழியாகும்.
எந்தவொரு ஊடுருவலுக்கும் எதிராக அசாத்தியமான தற்காப்பை உருவாக்கிவிட்டதாக நினைக்கும் IT மேலாளர்கள் அதைக் கல்வியாகவும் கருதுவார்கள் - அதாவது, உங்களுடன் நீண்ட நேரம் உட்காரும்படி நீங்கள் அவர்களைச் சமாதானப்படுத்தினால்.
உண்மைக்கு வருவோம்
நான் எதிர்பார்த்தது போல், ஒரு உண்மையான ஹேக், சராசரி பயனருக்கு கண்ணுக்கு தெரியாதது, நான் விவரித்தவற்றின் மாறுபாடு. அடுத்த வெளியீட்டிற்கான பொருட்களைச் சேகரிக்க, நான் கண்டுபிடித்த உதாரணத்தைப் போலவே HA இல் ஒரு மாதிரியைத் தேட ஆரம்பித்தேன். நான் அதை நீண்ட நேரம் தேட வேண்டியதில்லை - தளத்தில் இதேபோன்ற தாக்குதல் நுட்பத்திற்கு பல விருப்பங்கள் உள்ளன.
HA இல் நான் கண்டறிந்த தீம்பொருள் ஒரு VBA ஸ்கிரிப்ட் ஆகும், அது ஒரு வேர்ட் ஆவணத்தில் உட்பொதிக்கப்பட்டது. அதாவது, டாக் நீட்டிப்பை நான் போலியாக உருவாக்கத் தேவையில்லை, இந்த மால்வேர் உண்மையில் சாதாரணமாகத் தோற்றமளிக்கும் மைக்ரோசாஃப்ட் வேர்ட் ஆவணம். நீங்கள் ஆர்வமாக இருந்தால், நான் இந்த மாதிரியைத் தேர்ந்தெடுத்தேன் .
ஒரு ஆவணத்திலிருந்து தீங்கிழைக்கும் VBA ஸ்கிரிப்ட்களை உங்களால் நேரடியாக வெளியே எடுக்க முடியாது என்பதை நான் விரைவில் அறிந்துகொண்டேன். ஹேக்கர்கள் அவற்றை சுருக்கி மறைக்கிறார்கள், அதனால் அவை வேர்டின் உள்ளமைக்கப்பட்ட மேக்ரோ கருவிகளில் தெரியவில்லை. அதை அகற்ற, உங்களுக்கு ஒரு சிறப்பு கருவி தேவைப்படும். அதிர்ஷ்டவசமாக நான் ஒரு ஸ்கேனரைக் கண்டேன் ஃபிராங்க் பால்ட்வின். நன்றி, பிராங்க்.
இந்தக் கருவியைப் பயன்படுத்தி, மிகவும் தெளிவற்ற VBA குறியீட்டை என்னால் வெளியே எடுக்க முடிந்தது. இது இப்படி இருந்தது:
இந்த தெளிவின்மை அவர்களின் துறையில் உள்ள நிபுணர்களால் செய்யப்பட்டது. நான் ஈர்க்கப்பட்டேன்!
Evil.doc ஐ உருவாக்கும் எனது முயற்சிகளைப் போல அல்ல, குறியீடை மழுங்கடிப்பதில் தாக்குபவர்கள் மிகவும் திறமையானவர்கள். சரி, அடுத்த பகுதியில் எங்கள் VBA பிழைத்திருத்தங்களை எடுத்து, இந்தக் குறியீட்டில் கொஞ்சம் ஆழமாக மூழ்கி, எங்கள் பகுப்பாய்வை HA முடிவுகளுடன் ஒப்பிடுவோம்.
ஆதாரம்: www.habr.com