#Defense_Evasion with #Multi_Staging
یک ساله پیش یک دمو از فرایند های خیلی معمولی برای دور زدن مکانیزم های دفاعی ارائه دادیم که در آن یک نمونه از پیاده سازی پیلود ریزی چند مرحله ای رو نشون دادیم که میتونه مکانیزم های Signature Based Detection و Heuristic Detection رو دور بزنه، سالهاست این روش داره استفاده میشه،
در تصویر پست همونطور که مشاهده میکنید بواسطه یه اسکریپت Batch میتونیم یک اسکریپت VBS رو Echo کنیم که به عنوان Downloader عمل کند، تکنیک های دیگه هم استفاده شده در دمو که مراحل Execution در منطقه Whitelist و دور زدن مکانیزم UAC هم مطرح میشه...
لینک دمو:
https://www.aparat.com/v/HKk6Y
@Unk9vvN
یک ساله پیش یک دمو از فرایند های خیلی معمولی برای دور زدن مکانیزم های دفاعی ارائه دادیم که در آن یک نمونه از پیاده سازی پیلود ریزی چند مرحله ای رو نشون دادیم که میتونه مکانیزم های Signature Based Detection و Heuristic Detection رو دور بزنه، سالهاست این روش داره استفاده میشه،
در تصویر پست همونطور که مشاهده میکنید بواسطه یه اسکریپت Batch میتونیم یک اسکریپت VBS رو Echo کنیم که به عنوان Downloader عمل کند، تکنیک های دیگه هم استفاده شده در دمو که مراحل Execution در منطقه Whitelist و دور زدن مکانیزم UAC هم مطرح میشه...
لینک دمو:
https://www.aparat.com/v/HKk6Y
@Unk9vvN
#Defense_Evasion #Powershell_Crypter
در روش های سنتی سالهای دور همواره استفاده از تکنیک رمزنگاری شلکد اصلی و بازگردانی آن در حافظه به واسطه تعریف یک stub محبوب ترین روشی بود که برای دور زدن آنتی ویروس ها استفاده میشد،
اما امروزه اون تکنیک های PE Injection که بر بستر فایل فرمت PE عملیاتی میشد، نمیتونه روش خوبی برای دور زدن مکانیزم های شناسایی کننده باشه، اما این روش در مواجه با روش های Stageless امکان بکارگیری مجدد رو داره، و همین موضوع میتونه محل مؤثری برای Evasion کردن ابزارهای محبوبی مثل Mimikatz باشه،
اگر به کد پاورشلی تصویر مربوط به تعریف رمزنگاری CBC نگاه کنید میبینید که باز هم اسکریپت ورودی هکر بعد از یک دور فشرده شدن با Gzip میره برای رمز شدن به واسطه تعریف یک Cipher key بر مبنای یک IV Padding و معماری رمزنگاری CBC یا ECB
در تصویر دوم هم تعریف یک stub در اسکریپت خروجی رو مشاهده میکنید که به محض بارگذاری کد بر روی حافظه عملیات بازگردانی رمزنگاری رو انجام داده و اسکریپت مد نظر رو به اجرا در میاره،
https://github.com/the-xentropy/xencrypt
@Unk9vvN
در روش های سنتی سالهای دور همواره استفاده از تکنیک رمزنگاری شلکد اصلی و بازگردانی آن در حافظه به واسطه تعریف یک stub محبوب ترین روشی بود که برای دور زدن آنتی ویروس ها استفاده میشد،
اما امروزه اون تکنیک های PE Injection که بر بستر فایل فرمت PE عملیاتی میشد، نمیتونه روش خوبی برای دور زدن مکانیزم های شناسایی کننده باشه، اما این روش در مواجه با روش های Stageless امکان بکارگیری مجدد رو داره، و همین موضوع میتونه محل مؤثری برای Evasion کردن ابزارهای محبوبی مثل Mimikatz باشه،
اگر به کد پاورشلی تصویر مربوط به تعریف رمزنگاری CBC نگاه کنید میبینید که باز هم اسکریپت ورودی هکر بعد از یک دور فشرده شدن با Gzip میره برای رمز شدن به واسطه تعریف یک Cipher key بر مبنای یک IV Padding و معماری رمزنگاری CBC یا ECB
در تصویر دوم هم تعریف یک stub در اسکریپت خروجی رو مشاهده میکنید که به محض بارگذاری کد بر روی حافظه عملیات بازگردانی رمزنگاری رو انجام داده و اسکریپت مد نظر رو به اجرا در میاره،
https://github.com/the-xentropy/xencrypt
@Unk9vvN