#Ransomware Compiles itself at Runtime #Avoid AVs
یکی از چالش های باج افزارها روند فعال شدن اونها هستش که با وجود مکانیزم ها و EDR های مختلف بسیار چالش بزرگی به حساب خواهد آمد, از این روی روش هایی مبتکرانه بعضاً استفاده میشه که بتونه این چالش رو بصورت نا محسوس حل کنه,
همونطور که در تصویر شماره یک میبینید استفاده از روش یک namespace و یک کلاس HelloWorldClass تعریف شده, اینجا دقیقا جایی هست که کد منبع یک باج افزار یا بدافزار میبایست قرار بگیره و در ادامه میبینید که با استفاده از ویژگی CodeDom.Compiler یک فرایند Initial Compile شکل میگیره و در تصویر دو و خط ۴۷ و ۴۸ Object مربوطه ساخته و کد باج افزار بهش معرفی میشه,
حالا استفاده از csc.exe برای ما بسیار حیاتی میشه و با استفاده از csc.exe یک dll در پوشه %temp% خروجی داده میشه که به دلیل استفاده از Method ویژه ای که بصورت System.Reflection اجرا میشه یعنی Invoke در خط ۶۸ تعریف شده و کد در حافظه مستقیما اجرا خواهد شد...
https://www.bleepingcomputer.com/news/security/new-c-ransomware-compiles-itself-at-runtime/
@Unk9vvN
یکی از چالش های باج افزارها روند فعال شدن اونها هستش که با وجود مکانیزم ها و EDR های مختلف بسیار چالش بزرگی به حساب خواهد آمد, از این روی روش هایی مبتکرانه بعضاً استفاده میشه که بتونه این چالش رو بصورت نا محسوس حل کنه,
همونطور که در تصویر شماره یک میبینید استفاده از روش یک namespace و یک کلاس HelloWorldClass تعریف شده, اینجا دقیقا جایی هست که کد منبع یک باج افزار یا بدافزار میبایست قرار بگیره و در ادامه میبینید که با استفاده از ویژگی CodeDom.Compiler یک فرایند Initial Compile شکل میگیره و در تصویر دو و خط ۴۷ و ۴۸ Object مربوطه ساخته و کد باج افزار بهش معرفی میشه,
حالا استفاده از csc.exe برای ما بسیار حیاتی میشه و با استفاده از csc.exe یک dll در پوشه %temp% خروجی داده میشه که به دلیل استفاده از Method ویژه ای که بصورت System.Reflection اجرا میشه یعنی Invoke در خط ۶۸ تعریف شده و کد در حافظه مستقیما اجرا خواهد شد...
https://www.bleepingcomputer.com/news/security/new-c-ransomware-compiles-itself-at-runtime/
@Unk9vvN