ఈ కథనంతో మేము అంతుచిక్కని మాల్వేర్ గురించి ప్రచురణల శ్రేణిని ప్రారంభిస్తాము. ఫైల్లెస్ హ్యాకింగ్ ప్రోగ్రామ్లు, ఫైల్లెస్ హ్యాకింగ్ ప్రోగ్రామ్లు అని కూడా పిలుస్తారు, విలువైన కంటెంట్ను శోధించడానికి మరియు సంగ్రహించడానికి ఆదేశాలను నిశ్శబ్దంగా అమలు చేయడానికి సాధారణంగా Windows సిస్టమ్లలో PowerShellని ఉపయోగిస్తుంది. హానికరమైన ఫైల్లు లేకుండా హ్యాకర్ కార్యాచరణను గుర్తించడం చాలా కష్టమైన పని, ఎందుకంటే... యాంటీవైరస్లు మరియు అనేక ఇతర గుర్తింపు వ్యవస్థలు సంతకం విశ్లేషణ ఆధారంగా పని చేస్తాయి. కానీ శుభవార్త ఏమిటంటే అలాంటి సాఫ్ట్వేర్ ఉనికిలో ఉంది. ఉదాహరణకి, , ఫైల్ సిస్టమ్లలో హానికరమైన కార్యాచరణను గుర్తించగల సామర్థ్యం.
నేను మొదట బాడాస్ హ్యాకర్ల అంశంపై పరిశోధన ప్రారంభించినప్పుడు, , కానీ బాధితుడి కంప్యూటర్లో అందుబాటులో ఉన్న సాధనాలు మరియు సాఫ్ట్వేర్ మాత్రమే, ఇది త్వరలో ఒక ప్రసిద్ధ దాడి పద్ధతిగా మారుతుందని నాకు తెలియదు. సెక్యూరిటీ ప్రొఫెషనల్స్ ఇది ఒక ట్రెండ్గా మారుతోంది మరియు - దీని నిర్ధారణ. అందువల్ల, నేను ఈ అంశంపై వరుస ప్రచురణలను చేయాలని నిర్ణయించుకున్నాను.
గొప్ప మరియు శక్తివంతమైన పవర్షెల్
నేను ఈ ఆలోచనలలో కొన్నింటి గురించి ఇంతకు ముందు వ్రాసాను , కానీ మరింత సైద్ధాంతిక భావన ఆధారంగా. తర్వాత నాకు ఎదురైంది , ఇక్కడ మీరు అడవిలో "క్యాచ్" అయిన మాల్వేర్ నమూనాలను కనుగొనవచ్చు. నేను ఫైల్లెస్ మాల్వేర్ నమూనాలను కనుగొనడానికి ఈ సైట్ని ఉపయోగించాలని నిర్ణయించుకున్నాను. మరియు నేను విజయం సాధించాను. అదే విధంగా, మీరు మీ స్వంత మాల్వేర్ వేట యాత్రకు వెళ్లాలనుకుంటే, మీరు ఈ సైట్ ద్వారా ధృవీకరించబడాలి కాబట్టి మీరు వైట్ హ్యాట్ స్పెషలిస్ట్గా పని చేస్తున్నారని వారికి తెలుసు. ఒక భద్రతా బ్లాగర్గా, నేను దానిని ప్రశ్నించకుండా ఆమోదించాను. మీరు కూడా చేయగలరని నేను ఖచ్చితంగా అనుకుంటున్నాను.
నమూనాలతో పాటు, సైట్లో మీరు ఈ ప్రోగ్రామ్లు ఏమి చేస్తారో చూడవచ్చు. హైబ్రిడ్ విశ్లేషణ దాని స్వంత శాండ్బాక్స్లో మాల్వేర్ను అమలు చేస్తుంది మరియు సిస్టమ్ కాల్లు, రన్నింగ్ ప్రాసెస్లు మరియు నెట్వర్క్ కార్యాచరణను పర్యవేక్షిస్తుంది మరియు అనుమానాస్పద టెక్స్ట్ స్ట్రింగ్లను సంగ్రహిస్తుంది. బైనరీలు మరియు ఇతర ఎక్జిక్యూటబుల్ ఫైల్ల కోసం, అనగా. మీరు అసలు ఉన్నత-స్థాయి కోడ్ని కూడా చూడలేరు, హైబ్రిడ్ విశ్లేషణ సాఫ్ట్వేర్ హానికరమైనదా లేదా దాని రన్టైమ్ కార్యాచరణ ఆధారంగా అనుమానాస్పదంగా ఉందా అని నిర్ణయిస్తుంది. మరియు ఆ తర్వాత నమూనా ఇప్పటికే మూల్యాంకనం చేయబడింది.
పవర్షెల్ మరియు ఇతర నమూనా స్క్రిప్ట్ల విషయంలో (విజువల్ బేసిక్, జావాస్క్రిప్ట్, మొదలైనవి), నేను కోడ్ను చూడగలిగాను. ఉదాహరణకు, నేను ఈ PowerShell ఉదాహరణను చూశాను:
గుర్తింపును నివారించడానికి మీరు PowerShellని బేస్64 ఎన్కోడింగ్లో కూడా అమలు చేయవచ్చు. నాన్-ఇంటరాక్టివ్ మరియు హిడెన్ పారామితుల వినియోగాన్ని గమనించండి.
మీరు అస్పష్టతపై నా పోస్ట్లను చదివి ఉంటే, కంటెంట్ బేస్64 ఎన్కోడ్ చేయబడిందని -e ఎంపిక పేర్కొంటుందని మీకు తెలుసు. మార్గం ద్వారా, హైబ్రిడ్ విశ్లేషణ ప్రతిదీ తిరిగి డీకోడ్ చేయడం ద్వారా కూడా సహాయపడుతుంది. మీరు బేస్64 పవర్షెల్ (ఇకపై పిఎస్గా సూచిస్తారు) డీకోడింగ్ చేయడానికి ప్రయత్నించాలనుకుంటే, మీరు ఈ ఆదేశాన్ని అమలు చేయాలి:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))లోతుగా వెళ్ళండి
నేను ఈ పద్ధతిని ఉపయోగించి మా PS స్క్రిప్ట్ను డీకోడ్ చేసాను, ప్రోగ్రామ్ యొక్క వచనం క్రింద ఉంది, అయినప్పటికీ నేను కొద్దిగా సవరించాను:
స్క్రిప్ట్ సెప్టెంబర్ 4, 2017 తేదీతో ముడిపడి ఉందని మరియు సెషన్ కుక్కీలు ప్రసారం చేయబడిందని గమనించండి.
నేను ఈ దాడి శైలి గురించి వ్రాసాను , దీనిలో బేస్64 ఎన్కోడ్ చేసిన స్క్రిప్ట్ కూడా లోడ్ అవుతుంది లేదు మరొక సైట్ నుండి మాల్వేర్, .Net Framework లైబ్రరీ యొక్క WebClient ఆబ్జెక్ట్ని ఉపయోగించి భారాన్ని ఎత్తండి.
ఇది దేనికి?
విండోస్ ఈవెంట్ లాగ్లు లేదా ఫైర్వాల్లను స్కాన్ చేసే భద్రతా సాఫ్ట్వేర్ కోసం, బేస్64 ఎన్కోడింగ్ అటువంటి వెబ్ అభ్యర్థన చేయకుండా రక్షించడానికి సాదా వచన నమూనా ద్వారా స్ట్రింగ్ "వెబ్క్లయింట్"ని గుర్తించకుండా నిరోధిస్తుంది. మరియు మాల్వేర్ యొక్క అన్ని “చెడులు” డౌన్లోడ్ చేయబడి, మా పవర్షెల్లోకి పంపబడతాయి కాబట్టి, ఈ విధానం మమ్మల్ని గుర్తించకుండా పూర్తిగా తప్పించుకోవడానికి అనుమతిస్తుంది. లేదా, నేను మొదట అనుకున్నది అదే.
విండోస్ పవర్షెల్ అడ్వాన్స్డ్ లాగింగ్ ప్రారంభించబడితే (నా కథనాన్ని చూడండి), మీరు ఈవెంట్ లాగ్లో లోడ్ చేయబడిన లైన్ను చూడగలుగుతారు. నేను ఇలా ఉన్నాను ) Microsoft డిఫాల్ట్గా ఈ స్థాయి లాగింగ్ని ప్రారంభించాలని నేను భావిస్తున్నాను. అందువల్ల, పొడిగించిన లాగింగ్ ప్రారంభించబడితే, మేము పైన చర్చించిన ఉదాహరణ ప్రకారం PS స్క్రిప్ట్ నుండి పూర్తయిన డౌన్లోడ్ అభ్యర్థనను Windows ఈవెంట్ లాగ్లో చూస్తాము. అందువల్ల, దీన్ని సక్రియం చేయడం అర్ధమే, మీరు అంగీకరించలేదా?
అదనపు దృశ్యాలను జోడిద్దాం
విజువల్ బేసిక్ మరియు ఇతర స్క్రిప్టింగ్ భాషలలో వ్రాసిన మైక్రోసాఫ్ట్ ఆఫీస్ మాక్రోలలో పవర్షెల్ దాడులను హ్యాకర్లు తెలివిగా దాచిపెడతారు. బాధితుడు ఒక సందేశాన్ని అందుకుంటాడు, ఉదాహరణకు డెలివరీ సేవ నుండి, .doc ఆకృతిలో జోడించిన నివేదికతో. మీరు మాక్రోను కలిగి ఉన్న ఈ పత్రాన్ని తెరవండి మరియు అది హానికరమైన పవర్షెల్ను ప్రారంభించడం ముగుస్తుంది.
తరచుగా విజువల్ బేసిక్ స్క్రిప్ట్ అస్పష్టంగా ఉంటుంది, తద్వారా ఇది యాంటీవైరస్ మరియు ఇతర మాల్వేర్ స్కానర్లను ఉచితంగా తప్పించుకుంటుంది. పైన పేర్కొన్న స్ఫూర్తితో, నేను పైన పేర్కొన్న పవర్షెల్ను జావాస్క్రిప్ట్లో ఒక వ్యాయామంగా కోడ్ చేయాలని నిర్ణయించుకున్నాను. నా పని ఫలితాలు క్రింద ఉన్నాయి:
మా PowerShellని దాచిపెట్టిన జావాస్క్రిప్ట్ అస్పష్టం. నిజమైన హ్యాకర్లు దీన్ని ఒకటి లేదా రెండుసార్లు చేస్తారు.
ఇది వెబ్లో తేలుతూ నేను చూసిన మరొక టెక్నిక్: కోడ్ చేయబడిన PowerShellని అమలు చేయడానికి Wscript.Shellని ఉపయోగించడం. మార్గం ద్వారా, జావాస్క్రిప్ట్ కూడా ఉంది మాల్వేర్ డెలివరీ. విండోస్ యొక్క అనేక వెర్షన్లు అంతర్నిర్మితంగా ఉన్నాయి , ఇది స్వయంగా JSని అమలు చేయగలదు.
మా విషయంలో, హానికరమైన JS స్క్రిప్ట్ .doc.js పొడిగింపుతో ఫైల్గా పొందుపరచబడింది. Windows సాధారణంగా మొదటి ప్రత్యయాన్ని మాత్రమే చూపుతుంది, కనుక ఇది వర్డ్ డాక్యుమెంట్గా బాధితుడికి కనిపిస్తుంది.
JS చిహ్నం స్క్రోల్ చిహ్నంలో మాత్రమే కనిపిస్తుంది. చాలా మంది ఈ అటాచ్మెంట్ని వర్డ్ డాక్యుమెంట్గా భావించి ఓపెన్ చేయడంలో ఆశ్చర్యం లేదు.
నా ఉదాహరణలో, నా వెబ్సైట్ నుండి స్క్రిప్ట్ను డౌన్లోడ్ చేయడానికి పై పవర్షెల్ని నేను సవరించాను. రిమోట్ PS స్క్రిప్ట్ కేవలం "ఈవిల్ మాల్వేర్"ని ప్రింట్ చేస్తుంది. మీరు గమనిస్తే, అతను అస్సలు చెడ్డవాడు కాదు. వాస్తవానికి, కమాండ్ షెల్ ద్వారా ల్యాప్టాప్ లేదా సర్వర్కు ప్రాప్యత పొందడానికి నిజమైన హ్యాకర్లు ఆసక్తి చూపుతారు. తదుపరి కథనంలో, PowerShell సామ్రాజ్యాన్ని ఉపయోగించి దీన్ని ఎలా చేయాలో నేను మీకు చూపుతాను.
మొదటి పరిచయ వ్యాసం కోసం మేము అంశంపై చాలా లోతుగా డైవ్ చేయలేదని నేను ఆశిస్తున్నాను. ఇప్పుడు నేను మీరు ఊపిరి పీల్చుకోవడానికి అనుమతిస్తాను మరియు తదుపరిసారి మేము ఎటువంటి అనవసరమైన పరిచయ పదాలు లేదా తయారీ లేకుండా ఫైల్లెస్ మాల్వేర్ని ఉపయోగించి దాడులకు సంబంధించిన నిజమైన ఉదాహరణలను చూడటం ప్రారంభిస్తాము.
మూలం: www.habr.com