اس مضمون کے ساتھ ہم مضحکہ خیز میلویئر کے بارے میں اشاعتوں کا ایک سلسلہ شروع کرتے ہیں۔ فائل لیس ہیکنگ پروگرام، جسے فائل لیس ہیکنگ پروگرام بھی کہا جاتا ہے، عام طور پر ونڈوز سسٹمز پر پاور شیل استعمال کرتے ہیں تاکہ قیمتی مواد کو تلاش کرنے اور نکالنے کے لیے خاموشی سے کمانڈز چلائیں۔ بدنیتی پر مبنی فائلوں کے بغیر ہیکر کی سرگرمی کا پتہ لگانا ایک مشکل کام ہے، کیونکہ... اینٹی وائرس اور بہت سے دوسرے پتہ لگانے کے نظام دستخطی تجزیہ کی بنیاد پر کام کرتے ہیں۔ لیکن اچھی خبر یہ ہے کہ ایسا سافٹ ویئر موجود ہے۔ مثال کے طور پر، فائل سسٹمز میں بدنیتی پر مبنی سرگرمی کا پتہ لگانے کے قابل۔
جب میں نے پہلی بار بیڈاس ہیکرز کے موضوع پر تحقیق شروع کی، ، لیکن شکار کے کمپیوٹر پر صرف ٹولز اور سافٹ ویئر دستیاب ہیں، مجھے اندازہ نہیں تھا کہ یہ جلد ہی حملے کا ایک مقبول طریقہ بن جائے گا۔ سیکیورٹی پروفیشنلز کہ یہ ایک رجحان بنتا جا رہا ہے، اور - اس کی تصدیق. لہذا، میں نے اس موضوع پر اشاعتوں کا ایک سلسلہ بنانے کا فیصلہ کیا۔
عظیم اور طاقتور پاور شیل
میں ان میں سے کچھ خیالات کے بارے میں پہلے بھی لکھ چکا ہوں۔ ، لیکن زیادہ نظریاتی تصور پر مبنی ہے۔ بعد میں میں سامنے آیا ، جہاں آپ کو جنگل میں میلویئر "پکڑے" کے نمونے مل سکتے ہیں۔ میں نے فائل لیس میلویئر کے نمونے تلاش کرنے کے لیے اس سائٹ کو استعمال کرنے کی کوشش کرنے کا فیصلہ کیا۔ اور میں کامیاب ہو گیا۔ ویسے، اگر آپ خود اپنی مالویئر ہنٹنگ مہم پر جانا چاہتے ہیں، تو آپ کو اس سائٹ سے تصدیق کرنی ہوگی تاکہ وہ جان لیں کہ آپ سفید ٹوپی کے ماہر کے طور پر کام کر رہے ہیں۔ ایک سیکیورٹی بلاگر کے طور پر، میں نے اسے بغیر کسی سوال کے پاس کیا۔ مجھے یقین ہے کہ آپ بھی کر سکتے ہیں۔
خود نمونوں کے علاوہ، سائٹ پر آپ دیکھ سکتے ہیں کہ یہ پروگرام کیا کرتے ہیں۔ ہائبرڈ تجزیہ میلویئر کو اپنے سینڈ باکس میں چلاتا ہے اور سسٹم کالز، چلانے کے عمل اور نیٹ ورک کی سرگرمی پر نظر رکھتا ہے، اور مشتبہ ٹیکسٹ سٹرنگز کو نکالتا ہے۔ بائنریز اور دیگر قابل عمل فائلوں کے لیے، یعنی جہاں آپ اصل اعلیٰ سطحی کوڈ کو بھی نہیں دیکھ سکتے، ہائبرڈ تجزیہ فیصلہ کرتا ہے کہ آیا سافٹ ویئر بدنیتی پر مبنی ہے یا محض اس کی رن ٹائم سرگرمی کی بنیاد پر مشکوک ہے۔ اور اس کے بعد نمونے کا پہلے سے جائزہ لیا جاتا ہے۔
پاور شیل اور دیگر نمونہ اسکرپٹس (بصری بنیادی، جاوا اسکرپٹ، وغیرہ) کے معاملے میں، میں خود کوڈ کو دیکھنے کے قابل تھا۔ مثال کے طور پر، میں نے اس پاور شیل مثال کو دیکھا:
پتہ لگانے سے بچنے کے لیے آپ بیس 64 انکوڈنگ میں پاور شیل بھی چلا سکتے ہیں۔ نان انٹرایکٹو اور پوشیدہ پیرامیٹرز کے استعمال کو نوٹ کریں۔
اگر آپ نے مبہم پر میری پوسٹس پڑھی ہیں، تو آپ جانتے ہیں کہ -e آپشن بتاتا ہے کہ مواد بیس 64 انکوڈ ہے۔ ویسے، ہائبرڈ تجزیہ بھی ہر چیز کو ڈی کوڈ کرکے اس میں مدد کرتا ہے۔ اگر آپ بیس64 پاور شیل (جسے بعد میں PS کہا جاتا ہے) کو ڈی کوڈ کرنے کی کوشش کرنا چاہتے ہیں تو آپ کو یہ کمانڈ چلانے کی ضرورت ہے:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))گہرائی میں جاؤ
میں نے اس طریقہ کو استعمال کرتے ہوئے اپنے PS اسکرپٹ کو ڈی کوڈ کیا، ذیل میں پروگرام کا متن ہے، اگرچہ میری طرف سے قدرے ترمیم کی گئی ہے:
نوٹ کریں کہ اسکرپٹ کو 4 ستمبر 2017 کی تاریخ سے منسلک کیا گیا تھا اور سیشن کوکیز کو منتقل کیا گیا تھا۔
میں نے حملے کے اس انداز کے بارے میں لکھا ، جس میں base64 انکوڈ شدہ اسکرپٹ خود لوڈ ہوتا ہے۔ لاپتہ ہیوی لفٹنگ کرنے کے لیے .Net Framework لائبریری کے WebClient آبجیکٹ کا استعمال کرتے ہوئے دوسری سائٹ سے میلویئر۔
یہ کیا کرتا ہے؟
سیکیورٹی سافٹ ویئر سکیننگ ونڈوز ایونٹ لاگز یا فائر والز کے لیے، بیس 64 انکوڈنگ سٹرنگ "ویب کلائنٹ" کو ایک سادہ ٹیکسٹ پیٹرن کے ذریعے پتہ لگانے سے روکتی ہے تاکہ ایسی ویب درخواست کرنے سے بچایا جا سکے۔ اور چونکہ میلویئر کی تمام "برائی" کو پھر ڈاؤن لوڈ کرکے ہمارے پاور شیل میں منتقل کردیا جاتا ہے، اس لیے یہ طریقہ ہمیں مکمل طور پر پتہ لگانے سے بچنے کی اجازت دیتا ہے۔ یا بلکہ، میں نے پہلے سوچا تھا۔
یہ پتہ چلتا ہے کہ Windows PowerShell Advanced Logging کے فعال ہونے کے ساتھ (میرا مضمون دیکھیں)، آپ ایونٹ لاگ میں بھری ہوئی لائن کو دیکھ سکیں گے۔ میں ایسے ہوں جیسے میرے خیال میں مائیکروسافٹ کو لاگنگ کی اس سطح کو بطور ڈیفالٹ فعال کرنا چاہیے۔ لہذا، توسیع شدہ لاگنگ کے فعال ہونے کے ساتھ، ہم ونڈوز ایونٹ لاگ میں PS اسکرپٹ سے مکمل ڈاؤن لوڈ کی درخواست دیکھیں گے جس کی مثال ہم نے اوپر بیان کی ہے۔ لہذا، اسے چالو کرنا سمجھ میں آتا ہے، کیا آپ متفق نہیں ہیں؟
آئیے اضافی منظرنامے شامل کریں۔
ہیکرز بڑی چالاکی سے پاور شیل حملوں کو مائیکروسافٹ آفس میکروز میں چھپاتے ہیں جو کہ Visual Basic اور دیگر اسکرپٹنگ زبانوں میں لکھے جاتے ہیں۔ خیال یہ ہے کہ شکار کو ایک پیغام موصول ہوتا ہے، مثال کے طور پر ڈیلیوری سروس سے، .doc فارمیٹ میں منسلک رپورٹ کے ساتھ۔ آپ اس دستاویز کو کھولتے ہیں جس میں میکرو ہوتا ہے، اور یہ خود ہی نقصان دہ پاور شیل کو شروع کرتا ہے۔
اکثر وژوئل بیسک اسکرپٹ کو ہی مبہم کردیا جاتا ہے تاکہ یہ اینٹی وائرس اور دیگر میلویئر اسکینرز سے آزادانہ طور پر بچ جائے۔ مندرجہ بالا کی روح میں، میں نے ایک مشق کے طور پر جاوا اسکرپٹ میں مندرجہ بالا پاور شیل کو کوڈ کرنے کا فیصلہ کیا۔ ذیل میں میرے کام کے نتائج ہیں:
مبہم جاوا اسکرپٹ ہمارے پاور شیل کو چھپا رہا ہے۔ اصلی ہیکر ایک یا دو بار ایسا کرتے ہیں۔
یہ ایک اور تکنیک ہے جسے میں نے ویب پر تیرتے ہوئے دیکھا ہے: کوڈڈ پاور شیل کو چلانے کے لیے Wscript.Shell کا استعمال۔ ویسے، جاوا اسکرپٹ خود ہے۔ میلویئر کی ترسیل. ونڈوز کے بہت سے ورژن بلٹ ان ہیں۔ ، جو خود JS چلا سکتا ہے۔
ہمارے معاملے میں، نقصان دہ JS اسکرپٹ .doc.js ایکسٹینشن کے ساتھ فائل کے طور پر سرایت شدہ ہے۔ ونڈوز عام طور پر صرف پہلا لاحقہ دکھائے گا، لہذا یہ شکار کو ورڈ دستاویز کے طور پر ظاہر ہوگا۔
جے ایس آئیکن صرف اسکرول آئیکن میں ظاہر ہوتا ہے۔ یہ حیرت کی بات نہیں ہے کہ بہت سے لوگ اس منسلکہ کو یہ سوچ کر کھولیں گے کہ یہ ورڈ دستاویز ہے۔
اپنی مثال میں، میں نے اپنی ویب سائٹ سے اسکرپٹ ڈاؤن لوڈ کرنے کے لیے اوپر پاور شیل میں ترمیم کی۔ ریموٹ PS اسکرپٹ صرف "Evil Malware" پرنٹ کرتا ہے۔ جیسا کہ آپ دیکھ سکتے ہیں، وہ بالکل برا نہیں ہے۔ بلاشبہ، حقیقی ہیکرز کمانڈ شیل کے ذریعے لیپ ٹاپ یا سرور تک رسائی حاصل کرنے میں دلچسپی رکھتے ہیں۔ اگلے مضمون میں، میں آپ کو دکھاؤں گا کہ پاور شیل ایمپائر کا استعمال کرتے ہوئے یہ کیسے کریں۔
مجھے امید ہے کہ پہلے تعارفی مضمون کے لیے ہم نے موضوع میں زیادہ گہرائی میں نہیں ڈالا تھا۔ اب میں آپ کو سانس لینے دوں گا، اور اگلی بار ہم بغیر کسی غیر ضروری تعارفی الفاظ یا تیاری کے بغیر فائل لیس میلویئر کا استعمال کرتے ہوئے حملوں کی حقیقی مثالیں دیکھنا شروع کریں گے۔
ماخذ: www.habr.com