This media is not supported in your browser
VIEW IN TELEGRAM
#Office_Macro #Spoof #Parent_Processes and #Command_line argv
اگر در خصوص حملات #APTs تحقیقاتی کرده باشید میدانید که بسیاری از آنها بر مبنای مهندسی اجتماعی فایل فرمت هایی مانند فرمت های محصولات #Office ماکروسافت هستند، از این روی بحث رهگیری #Macro های مخرب برای محصولات #EDR بسیار مهم و حیاتی هستش، و یکی از روش های رهگیری این #Macro ها بررسی Parent های پراسس برنامه هستش، و همچنین CommandLine که در Sysmon Event سیستم عامل ثبت میشه،
یک محقق با استفاده از زبان VBA که هم پشتیبانیش برای Macro نویسی در آفیس فراهمه هم میتوان با استفاده از آن با API Windows ارتباط برقرار کرد رو مورد استفاده قرار داده و با استفاده از تابع NtQueryInformationProcess آدرس ساختمان PEB رو بدست و با استفاده از تابع WriteProcessMemory اقدام و Overwrite کردن مقادیر CommandLine کرده،
همچنین با استفاده از OpenProcess که یک تابع خنثی برای #EDR ها محصوب میشه میشه، با این کار پراسس مثلا notepad ایجاد میشود اما با اجرای یک شلکد که بد از اجرا پارامترش Overwrite با یک کد خنثی خواهد شد.
https://github.com/christophetd/spoofing-office-macro
@Unk9vvN
اگر در خصوص حملات #APTs تحقیقاتی کرده باشید میدانید که بسیاری از آنها بر مبنای مهندسی اجتماعی فایل فرمت هایی مانند فرمت های محصولات #Office ماکروسافت هستند، از این روی بحث رهگیری #Macro های مخرب برای محصولات #EDR بسیار مهم و حیاتی هستش، و یکی از روش های رهگیری این #Macro ها بررسی Parent های پراسس برنامه هستش، و همچنین CommandLine که در Sysmon Event سیستم عامل ثبت میشه،
یک محقق با استفاده از زبان VBA که هم پشتیبانیش برای Macro نویسی در آفیس فراهمه هم میتوان با استفاده از آن با API Windows ارتباط برقرار کرد رو مورد استفاده قرار داده و با استفاده از تابع NtQueryInformationProcess آدرس ساختمان PEB رو بدست و با استفاده از تابع WriteProcessMemory اقدام و Overwrite کردن مقادیر CommandLine کرده،
همچنین با استفاده از OpenProcess که یک تابع خنثی برای #EDR ها محصوب میشه میشه، با این کار پراسس مثلا notepad ایجاد میشود اما با اجرای یک شلکد که بد از اجرا پارامترش Overwrite با یک کد خنثی خواهد شد.
https://github.com/christophetd/spoofing-office-macro
@Unk9vvN