یہ مضمون فائل لیس میل ویئر سیریز کا حصہ ہے۔ سیریز کے دیگر تمام حصے:
- Elusive Malware Adventures Part II: پوشیدہ VBA اسکرپٹس (ہم یہاں ہیں)
میں سائٹ کا مداح ہوں۔ (ہائبرڈ تجزیہ، اس کے بعد HA)۔ یہ میلویئر چڑیا گھر کی ایک قسم ہے جہاں آپ محفوظ فاصلے سے جنگلی "شکاریوں" کو بغیر کسی حملہ کیے دیکھ سکتے ہیں۔ HA محفوظ ماحول میں میلویئر چلاتا ہے، سسٹم کالز، جنریٹڈ فائلز، اور انٹرنیٹ ٹریفک کو ریکارڈ کرتا ہے، اور آپ کو یہ تمام نتائج ہر اس نمونے کے لیے لاتا ہے جس کا یہ تجزیہ کرتا ہے۔ اس طرح، آپ مبہم کوڈ کو خود حل کرنے میں اپنا وقت اور کوشش ضائع نہیں کر سکتے، لیکن فوری طور پر ہیکرز کے تمام ارادوں کو سمجھ لیں۔
HA کی وہ مثالیں جنہوں نے میری توجہ مبذول کروائی وہ یا تو کوڈ شدہ JavaScript یا Visual Basic for Applications (VBA) اسکرپٹس کا استعمال کرتی ہیں جو Word یا Excel دستاویزات میں میکرو کے طور پر سرایت کرتی ہیں اور فشنگ ای میلز سے منسلک ہوتی ہیں۔ کھلنے پر، یہ میکرو شکار کے کمپیوٹر پر پاور شیل سیشن شروع کرتے ہیں۔ ہیکرز عام طور پر پاور شیل کو بیس 64 انکوڈ شدہ کمانڈ سٹریم بھیجتے ہیں۔ یہ سب کچھ ویب فلٹرز اور اینٹی وائرس سافٹ ویئر کے ذریعے حملے کا پتہ لگانا مشکل بنانے کے لیے کیا جاتا ہے جو کہ مخصوص مطلوبہ الفاظ کا جواب دیتے ہیں۔
خوش قسمتی سے، HA خود بخود Base64 کو ڈی کوڈ کرتا ہے اور فوری طور پر ہر چیز کو پڑھنے کے قابل شکل میں دکھاتا ہے۔ بنیادی طور پر، آپ کو اس پر توجہ مرکوز کرنے کی ضرورت نہیں ہے کہ یہ اسکرپٹ کیسے کام کرتی ہیں، کیونکہ آپ متعلقہ HA سیکشن میں عمل کو چلانے کے لیے کمانڈز کی مکمل آؤٹ پٹ دیکھ سکیں گے۔ ذیل میں مثال دیکھیں:
ہائبرڈ پارسنگ انٹرسیپٹس بیس 64 انکوڈ شدہ کمانڈز پاور شیل کو بھیجے گئے:
... اور پھر انہیں آپ کے لیے ڈی کوڈ کرتا ہے۔ #جادوئی طور پر
В میں نے پاور شیل سیشن چلانے کے لیے اپنا تھوڑا سا مبہم جاوا اسکرپٹ کنٹینر بنایا ہے۔ پھر میرا اسکرپٹ، پاور شیل پر مبنی بہت سے مالویئر کی طرح، درج ذیل پاور شیل اسکرپٹ کو دور دراز کی ویب سائٹ سے ڈاؤن لوڈ کرتا ہے۔ پھر، مثال کے طور پر، میں نے ایک بے ضرر PS ڈاؤن لوڈ کیا جس نے سکرین پر ایک پیغام پرنٹ کیا۔ لیکن وقت بدل رہا ہے، اور اب میں منظر نامے کو پیچیدہ کرنے کی تجویز پیش کرتا ہوں۔
پاور شیل ایمپائر اور ریورس شیل
اس مشق کا ایک مقصد یہ دکھانا ہے کہ ایک ہیکر کے لیے کلاسک پیری میٹر ڈیفنسز اور اینٹی وائرس کو نظرانداز کرنا کتنا (نسبتاً) آسان ہے۔ اگر کوئی آئی ٹی بلاگر بغیر پروگرامنگ کی مہارت کے، میری طرح، شام کے ایک دو میں کر سکتا ہے۔ (مکمل طور پر ناقابل شناخت، FUD)، ایک دلچسپی رکھنے والے نوجوان ہیکر کے امکانات کا تصور کریں!
اور اگر آپ آئی ٹی سیکیورٹی پرسن ہیں، لیکن آپ کا مینیجر ان خطرات کے ممکنہ مضمرات کو نہیں سمجھتا، تو انہیں یہ مضمون دکھائیں۔
ہیکرز متاثرہ کے لیپ ٹاپ یا سرور تک براہ راست رسائی حاصل کرنے کا خواب دیکھتے ہیں۔ یہ کرنا بہت آسان ہے: ہیکر کی تمام ضرورت سی ای او کے لیپ ٹاپ پر چند خفیہ فائلوں کو پکڑنا ہے۔
کسی نہ کسی طرح میں پہلے ہی پوسٹ پروڈکشن پاور شیل ایمپائر رن ٹائم کے بارے میں۔ آئیے یاد رکھیں کہ یہ کیا ہے۔
یہ بنیادی طور پر پاور شیل پر مبنی دخول ٹیسٹنگ ٹول ہے جو کہ بہت سی دوسری خصوصیات کے ساتھ ساتھ ریورس شیل کو چلانا آسان بناتا ہے۔ آپ اس پر مزید تفصیل سے دریافت کر سکتے ہیں۔ .
آئیے ایک چھوٹا سا تجربہ کرتے ہیں۔ میں نے ایمیزون ویب سروسز کلاؤڈ میں میلویئر ٹیسٹنگ کے لیے ایک محفوظ ماحول ترتیب دیا ہے۔ آپ اس خطرے کی ایک عملی مثال کو تیزی سے اور محفوظ طریقے سے دکھانے کے لیے میری مثال کی پیروی کر سکتے ہیں (اور انٹرپرائز کے دائرے میں وائرس چلانے کے لیے برطرف نہ کیا جائے)۔
اگر آپ پاور شیل ایمپائر کنسول چلاتے ہیں، تو آپ کو کچھ اس طرح نظر آئے گا:
سب سے پہلے، آپ اپنی ہیکر مشین پر سننے کا عمل شروع کرتے ہیں۔ "سننے والا" کمانڈ درج کریں، اور "سیٹ ہوسٹ" کا استعمال کرتے ہوئے اپنے سسٹم کا آئی پی ایڈریس بتائیں۔ پھر سننے والے کے عمل کو "Execut" کمانڈ (نیچے) سے شروع کریں۔ اس طرح، آپ کی طرف، آپ ریموٹ شیل سے نیٹ ورک کنکشن کا انتظار کرنا شروع کر دیں گے:
دوسری طرف کے لیے، آپ کو "لانچر" کمانڈ (نیچے ملاحظہ کریں) داخل کرکے ایک ایجنٹ کوڈ تیار کرنا ہوگا۔ یہ ریموٹ ایجنٹ کے لیے پاور شیل کوڈ تیار کرے گا۔ نوٹ کریں کہ یہ Base64 انکوڈ شدہ ہے اور پے لوڈ کے دوسرے مرحلے کی نمائندگی کرتا ہے۔ دوسرے لفظوں میں، میرا JavaScript کوڈ اب اس ایجنٹ کو اسکرین پر متن کو بے ضرر طریقے سے ڈسپلے کرنے کے بجائے پاور شیل چلانے کے لیے کھینچ لے گا اور ریورس شیل چلانے کے لیے ہمارے ریموٹ PSE سرور سے جڑے گا۔
ریورس شیل جادو. یہ انکوڈ شدہ پاور شیل کمانڈ میرے سننے والے سے جڑ جائے گی اور ایک ریموٹ شیل شروع کرے گی۔
آپ کو یہ تجربہ دکھانے کے لیے، میں نے ایک معصوم شکار کا کردار ادا کیا اور Evil.doc کو کھولا، اس طرح ہمارا JavaScript چل رہا ہے۔ پہلا حصہ یاد ہے؟ پاور شیل کو پاپ اپ نہ ہونے کے لیے کنفیگر کیا گیا ہے، اس لیے شکار کو عام سے ہٹ کر کوئی چیز نظر نہیں آئے گی۔ تاہم، اگر آپ ونڈوز ٹاسک مینیجر کو کھولتے ہیں، تو آپ کو بیک گراؤنڈ پاور شیل کا عمل نظر آئے گا، جو اب بھی زیادہ تر کے لیے خطرے کی گھنٹی کا سبب نہیں بنے گا۔ کیونکہ یہ باقاعدہ PowerShell ہے، ہے نا؟
اب، جب آپ Evil.doc چلاتے ہیں، تو ایک پوشیدہ پس منظر کا عمل PowerShell Empire چلانے والے سرور سے جڑ جائے گا۔ پینٹیسٹر ہیکر کی سفید ٹوپی پہن کر، میں پاور شیل ایمپائر کنسول پر واپس آیا، اور اب مجھے ایک پیغام نظر آیا کہ میرا ریموٹ ایجنٹ فعال ہے۔
پھر میں نے PSE میں شیل کھولنے کے لیے "interact" کمانڈ ٹائپ کیا - اور میں حاضر ہوں! مختصراً، میں نے Taco سرور کو ہیک کر لیا جسے میں نے کچھ عرصہ پہلے خود ترتیب دیا تھا۔
جو میں نے ابھی دکھایا ہے اس کے لیے آپ سے زیادہ محنت کی ضرورت نہیں ہے۔ معلومات کی حفاظت کے بارے میں اپنے علم کو بہتر بنانے کے لیے آپ ایک سے دو گھنٹے کے لنچ بریک میں یہ سب آسانی سے کر سکتے ہیں۔ یہ سمجھنے کا بھی ایک بہترین طریقہ ہے کہ ہیکرز کس طرح بیرونی حفاظتی حدود کے دفاع کو نظرانداز کرتے ہیں اور آپ کے سسٹمز میں گھس جاتے ہیں۔
آئی ٹی مینیجرز جو سوچتے ہیں کہ انہوں نے کسی بھی قسم کی دخل اندازی کے خلاف ایک اٹوٹ دفاع بنایا ہے وہ شاید اسے تعلیمی بھی پائیں گے - ٹھیک ہے، اگر آپ انہیں کافی دیر تک اپنے ساتھ بیٹھنے کے لیے قائل کر سکتے ہیں۔
واپس حقیقت کی طرف
جیسا کہ میں نے توقع کی تھی، اصلی ہیک، اوسط صارف کے لیے پوشیدہ، صرف اس کی ایک تبدیلی ہے جو میں نے ابھی بیان کی ہے۔ اگلی اشاعت کے لیے مواد جمع کرنے کے لیے، میں نے HA پر ایک نمونہ تلاش کرنا شروع کیا، جو میری ایجاد کردہ مثال کی طرح کام کرتا ہے۔ اور مجھے اسے طویل عرصے تک تلاش کرنے کی ضرورت نہیں تھی - سائٹ پر اس طرح کے حملے کی تکنیک کے بہت سے اختیارات موجود ہیں۔
میں نے HA پر جس میلویئر کو تلاش کیا وہ ایک VBA اسکرپٹ ہے جو ورڈ دستاویز میں سرایت کی گئی تھی۔ یعنی، مجھے دستاویز کی توسیع کو جعلی بنانے کی بھی ضرورت نہیں ہے، یہ میلویئر واقعی سب سے عام نظر آنے والی مائیکروسافٹ ورڈ دستاویز ہے۔ اگر آپ سوچ رہے ہیں تو، میں نے اس پیٹرن کا انتخاب کیا جسے کہا جاتا ہے۔ .
میں نے جلدی سے سیکھا کہ آپ اکثر نقصان دہ VBA اسکرپٹ کو کسی دستاویز سے براہ راست نہیں کھینچ سکتے ہیں۔ ہیکرز انہیں کمپریس اور چھپاتے ہیں، اور وہ ورڈ کے بلٹ ان میکرو ٹولز میں نظر نہیں آتے۔ اسے نکالنے کے لیے آپ کو ایک خاص ٹول کی ضرورت ہوگی۔ خوش قسمتی سے مجھے ایک سکینر ملا فرینک بالڈون۔ شکریہ فرینک۔
اس ٹول کا استعمال کرتے ہوئے، میں ایک انتہائی مبہم VBA کوڈ نکالنے میں کامیاب رہا۔ یہ کچھ اس طرح نظر آیا:
Obfuscation ان کے شعبے میں پیشہ ور افراد کی طرف سے کیا گیا تھا. میں متاثر ہوا!
حملہ آور کوڈ کو مبہم کرنے میں واقعی اچھے ہیں، Evil.doc بنانے میں میری کوششوں کی طرح نہیں۔ ٹھیک ہے، اگلے حصے میں، ہم اپنے VBA ڈیبگرز حاصل کریں گے، اس کوڈ کو تھوڑا گہرائی میں کھودیں گے، اور اپنے تجزیہ کا HA کے نتائج سے موازنہ کریں گے۔
ماخذ: www.habr.com