आपके कंप्यूटर को नुकसान पहुंचाने के लिए सभी दुर्भावनापूर्ण USB उपकरणों को परिष्कृत प्रोग्रामिंग के साथ महंगे हार्डवेयर के टुकड़े होने की आवश्यकता नहीं है। एक पुराने USB ड्राइव के साथ, आप लिंक करने और पेलोड करने के लिए Windows शॉर्टकट फ़ाइलों का उपयोग करके अपना स्वयं का दुर्भावनापूर्ण BadUSB बना सकते हैं।

McAfee ब्लॉग पोस्ट Rise of LNK (शॉर्टकट) मालवेयर के अनुसार, "2022 की दूसरी तिमाही के दौरान, McAfee Labs ने LNK फ़ाइलों का उपयोग करके वितरित किए जा रहे मैलवेयर में वृद्धि देखी है। हमलावर एलएनके की आसानी का फायदा उठा रहे हैं, और इसका इस्तेमाल एमोटेट, काकबोट, आईसेडआईडी, बाजारलोडर्स इत्यादि जैसे मैलवेयर देने के लिए कर रहे हैं।

हम इस बात पर गौर करने जा रहे हैं कि कैसे एक एलएनके फाइल एक मासूम दिखने वाली यूएसबी ड्राइव पर मैलवेयर डिलीवर कर सकती है। विंडोज शॉर्टकट फाइलों (एलएनके फाइलों) में हार्ड-टू-डिटेक्ट मालवेयर का लाभ उठाकर एक प्रच्छन्न लिंक उपयोगकर्ता को एक हानिरहित फ़ाइल पर क्लिक करने और मैलवेयर लॉन्च करने में हेरफेर करता है। एक एलएनके फ़ाइल शॉर्टकट प्रोग्राम के पूर्ण पथ को नेविगेट किए बिना निष्पादन योग्य फ़ाइलों तक त्वरित और आसान पहुंच प्रदान करता है। इस स्थिति में, एक मैलवेयर निष्पादन योग्य एक छिपी निर्देशिका में है। उपयोगकर्ता एक फ़ोल्डर पर क्लिक करता है, जो मैलवेयर लॉन्च करने वाले निष्पादन योग्य से लिंक होता है।

इस कारनामे के लिए निष्पादन योग्य Netcat या बस nc है।

नेटकैट मैलवेयर नहीं है, लेकिन विंडोज डिफेंडर इसे इस तरह से फ़्लैग करता है, इसलिए इस वॉकथ्रू के प्रयोजनों के लिए हम इसे मैलवेयर के रूप में संदर्भित करेंगे।

नेटवर्क प्रशासकों द्वारा उपयोग किया जाता है और कई उपयोग करता है, नेटकैट एक सामान्य उपकरण है जो अन्य सुविधाओं के साथ, एक दूरस्थ कंप्यूटर को दूसरे से कनेक्ट करने की अनुमति देता है। रिवर्स शेल स्थापित करने के लिए नेटकैट का उपयोग करते हुए, हमलावर मशीन के पास शेल एक्सेस और पीड़ित के कंप्यूटर का पूर्ण नियंत्रण होता है।

इस खंड के अंत में, हम एलएनके शॉर्टकट यूएसबी हमलों से खुद को बचाने के तरीकों के बारे में बात करते हैं।

शुरुआत कैसे करें

अपने कंप्यूटर में USB ड्राइव डालें। आप किसी भी विंडोज़-स्वरूपित यूएसबी ड्राइव का उपयोग कर सकते हैं। इस उदाहरण में हमारे पेलोड का आकार केवल 45K है इसलिए किसी भी ड्राइव को काम करना चाहिए।

राइट-क्लिक करें और एक नया फ़ोल्डर बनाएं। आप जो चाहें इस फ़ोल्डर को नाम दे सकते हैं, लेकिन इस उदाहरण के लिए, हम उपयुक्त नामित पेलोड निर्देशिका का उपयोग करेंगे। हम अंततः इस निर्देशिका को छिपा देंगे - इसे बाद में कैसे करना है इसके बारे में अधिक जानकारी।

आपके द्वारा अभी बनाया गया फ़ोल्डर खोलें। यह वह जगह है जहां हम अपना मैलवेयर इंस्टॉल करने जा रहे हैं। GitHub से nc64.exe निष्पादन योग्य डाउनलोड करें और nc64.exe फ़ाइल को इस फ़ोल्डर में कॉपी करें

'BadUSB' ड्राइव को कॉन्फ़िगर करना

पेलोड को अपने ड्राइव पर कॉपी करने के बाद, आपको USB ड्राइव पर बैच फ़ाइल बनाने के साथ कुछ फ़ाइल सिस्टम परिवर्तन करने की आवश्यकता है।

एक बैच फ़ाइल बनाएँ

बैच फ़ाइल वह जगह है जहाँ आप कंप्यूटर को निष्पादित करने के लिए Windows आदेश जारी करते हैं। टेक्स्ट फ़ाइल बनाने के लिए विंडोज नोटपैड का उपयोग करें। इस फ़ाइल में एक ही कमांड है जो हमला शुरू करती है।

इस उदाहरण में IP पता और पोर्ट को अपने हमलावर होस्ट से बदलें जो Netcat चला रहा है। -e पैरामीटर हमें यह निर्दिष्ट करने की अनुमति देता है कि हम कनेक्शन बनाने के लिए किस शेल का उपयोग करना चाहते हैं। विंडोज सिस्टम पर, हम cmd.exe या powershell.exe का उपयोग कर सकते हैं। बाद में, हम अपने लिनक्स सर्वर को कॉन्फ़िगर करेंगे जो पीड़ित के कंप्यूटर से कनेक्शन स्वीकार करेगा।

फ़ाइल को .cmd एक्सटेंशन के साथ सहेजें, और जांचें कि 'इस प्रकार सहेजें:' 'सभी फ़ाइलें' पर सेट है। सुनिश्चित करें कि बैच फ़ाइल और निष्पादन योग्य एक ही निर्देशिका में हैं।

पेलोड निर्देशिका में दो फ़ाइलें होनी चाहिए: निष्पादन योग्य और बैच फ़ाइल।

शॉर्टकट बनाना

इस हमले की सफलता का एक हिस्सा यह है कि हम एक विंडोज़ शॉर्टकट बना सकते हैं और एक छिपी निर्देशिका में मैलवेयर से लिंक कर सकते हैं। उपयोगकर्ता को हमारे मैलवेयर पर क्लिक करने के लिए प्राप्त करने के लिए, हमें उन्हें ऐसा करने के लिए छल करना होगा। उम्मीद है, अधिकांश उपयोगकर्ता अपने कंप्यूटर पर रैंडम एप्लिकेशन नहीं चलाना जानते हैं। लेकिन एक उपयोगकर्ता एक दिलचस्प नाम के साथ एक फ़ोल्डर खोलने का प्रयास करेगा।

USB ड्राइव की रूट डायरेक्टरी पर राइट-क्लिक करके और शॉर्टकट का चयन करके शॉर्टकट बनाएं।

पिछले चरण में आपके द्वारा बनाई गई बैच फ़ाइल का चयन करें। हमारे उदाहरण में, पेलोड निर्देशिका से run_exploit.cmd फ़ाइल और जारी रखने के लिए अगला क्लिक करें।

शॉर्टकट को कुछ दिलचस्प नाम दें जिससे उपयोगकर्ता उस पर क्लिक कर सके और समाप्त पर क्लिक कर सके।

हमारा नया बनाया गया लिंक सही नहीं लग रहा है, और यहां तक कि जिज्ञासु उपयोगकर्ताओं को भी आइकन पर क्लिक करने में संकोच करना चाहिए। सौभाग्य से, विंडोज एक सुविधा प्रदान करता है ताकि हम फाइलों और लिंक के लिए डिफ़ॉल्ट आइकन बदल सकें।

लिंक पर राइट-क्लिक करें और गुण चुनें।

आइकन बदलें बटन पर क्लिक करें।

आइकन को फ़ोल्डर में बदलें।

चेंज आइकन विंडो को बंद करने के लिए ओके पर क्लिक करें।

परिवर्तन लागू करें बंद करने के लिए ठीक क्लिक करें और फ़ाइल गुण विंडो बंद करें।

अब हमारा शॉर्टकट लिंक की तरह नहीं दिखता। नीचे बाईं ओर अभी भी पारंपरिक लिंक तीर है, लेकिन इसे जिज्ञासु उपयोगकर्ताओं द्वारा आकस्मिक निरीक्षण से गुजरना चाहिए।

मैलवेयर फ़ोल्डर छुपाएं

हम लगभग वहीँ हैं। दिखाई देने वाले पेलोड फ़ोल्डर के साथ ड्राइव अभी भी सही नहीं दिखता है। हम ड्राइव को छिपाकर इसे ठीक करने जा रहे हैं। पेलोड फ़ोल्डर पर राइट-क्लिक करें और गुण चुनें।

हिडन चेकबॉक्स चुनें और परिवर्तनों को लागू करने के लिए ओके पर क्लिक करें और विंडो बंद करें

'इस फ़ोल्डर, सबफ़ोल्डर्स, फ़ाइलों में परिवर्तन लागू करें' सक्षम करें और ठीक क्लिक करें।

साधारण दुर्भावनापूर्ण यूएसबी ड्राइव सशस्त्र है और तैनात करने के लिए तैयार है। जब उपयोगकर्ता USB ड्राइव को अपने कंप्यूटर में सम्मिलित करता है, तो वे यही देखते हैं।

शॉर्टकट एक नियमित विंडोज फ़ोल्डर की तरह दिखता है और हानिरहित दिखता है। जब वे फ़ोल्डर को खोलने का प्रयास करते हैं, तो जिज्ञासु या अनदेखे उपयोगकर्ता दुर्भावनापूर्ण पेलोड लॉन्च करते हैं। लेकिन साधारण दुर्भावनापूर्ण BadUSB को परिनियोजित करने से पहले, हमें अपना कमांड-एंड-कंट्रोल सर्वर सेट करना होगा।

कमांड-एंड-कंट्रोल सर्वर सेटअप

हमारा कमांड-एंड-कंट्रोल (सी एंड सी) सर्वर एक हमलावर द्वारा नियंत्रित किया जाता है और मैलवेयर द्वारा समझौता किए गए कंप्यूटर से कमांड भेजने और प्राप्त करने के लिए उपयोग किया जाता है। इस कारनामे के लिए हमारा सर्वर एक उबंटू मशीन है जो नेटकैट स्थापित के साथ अप-टू-डेट सॉफ़्टवेयर चला रही है।

यह उदाहरण -n (DNS का उपयोग न करें), -l (केवल आने वाले कनेक्शन के लिए सुनें), -v (वर्बोज़), और -p (पोर्ट नंबर) का उपयोग करता है। श्रोता को nc -nlvp 4444 कमांड से प्रारंभ करें। सर्वर धैर्यपूर्वक पोर्ट 4444 पर आने वाले कनेक्शन की प्रतीक्षा करता है।

जब उपयोगकर्ता USB सम्मिलित करता है और शॉर्टकट पर क्लिक करता है, तो बैच फ़ाइल nc64.exe कमांड को IP पते और पोर्ट नंबर के साथ निष्पादित करती है जो हमने पहले आपूर्ति की थी। कनेक्शन त्वरित और प्रभावी है।

इस बिंदु पर, मशीन से छेड़छाड़ की जाती है और हमलावर के पास पीड़ित के कंप्यूटर तक पूरी पहुंच होती है। हैकर ऐसे आदेश जारी कर सकता है जैसे कि वे सीधे टर्मिनल पर बैठे हों।

इस भेद्यता के खिलाफ बचाव

इस कारनामे के काम करने के लिए कई चीजों को सही करने की जरूरत है।

• आपको इसे ऐसे स्थान पर छोड़ना होगा जहां कोई इसे उठाएगा
• पीड़ित को सभी कंप्यूटर स्वच्छता को अनदेखा करने और इसे अपने कंप्यूटर में स्थापित करने की आवश्यकता है
• पीड़ित को विंडोज चलाने की जरूरत है
• पीड़ित का कंप्यूटर सभी अद्यतनों और लागू पैचों के साथ वर्तमान विंडोज़ नहीं चलाना चाहिए।
• पीड़ित को लिंक पर क्लिक करने के लिए पर्याप्त उत्सुक होना चाहिए, जो पेलोड निर्देशिका में छिपे हुए मैलवेयर को निष्पादित करता है

यदि ये सभी परिस्थितियाँ हमलावर के लिए काम करती हैं, तो यह एक सफल रैंसमवेयर हमला होगा। इस तरह के अटैक में नंबर हमलावर के पक्ष में काम करते हैं। यदि किसी स्थान पर 100 BadUSB उपकरण गिराए जाते हैं, तो उन्हें शिकार बनने के लिए लिंक पर क्लिक करने के लिए केवल एक व्यक्ति की आवश्यकता होती है।

Microsoft वायरस और ख़तरा सुरक्षा सक्षम करें

माइक्रोसॉफ्ट एंडपॉइंट डिटेक्शन (ईडीआर) उपयोगकर्ताओं को दुर्भावनापूर्ण कोड चलाने से बचाने का बहुत अच्छा काम करता है। असामान्य व्यवहार के लिए विंडोज, वायरस और खतरे से सुरक्षा घड़ियों के सभी वर्तमान समर्थित संस्करणों में निर्मित।

यदि हमारे पास वायरस और खतरा सुरक्षा सेटिंग्स सक्षम हैं, तो उपयोगकर्ता BadUSB डालने पर यह संदेश देखेंगे।

Microsoft EDR फ़ाइल को क्वारंटाइन करेगा और यह अब ड्राइव पर नहीं होगा, हमला विफल हो जाएगा। नतीजतन, मैलवेयर हटा दिया जाता है और अब निष्पादित नहीं किया जा सकता है।

संभावित पीड़ितों के लिए अच्छी खबर यह है कि ज्यादातर लोग अपने कंप्यूटर में एक यादृच्छिक यूएसबी डिवाइस प्लग नहीं करना जानते हैं, लेकिन अगर उन्होंने ऐसा किया, तो माइक्रोसॉफ्ट एंडपॉइंट सुरक्षा सॉफ्टवेयर दुर्भावनापूर्ण सॉफ़्टवेयर को चलने से रोक देगा।