#Defense_Evasion #Powershell_Crypter
در روش های سنتی سالهای دور همواره استفاده از تکنیک رمزنگاری شلکد اصلی و بازگردانی آن در حافظه به واسطه تعریف یک stub محبوب ترین روشی بود که برای دور زدن آنتی ویروس ها استفاده میشد،
اما امروزه اون تکنیک های PE Injection که بر بستر فایل فرمت PE عملیاتی میشد، نمیتونه روش خوبی برای دور زدن مکانیزم های شناسایی کننده باشه، اما این روش در مواجه با روش های Stageless امکان بکارگیری مجدد رو داره، و همین موضوع میتونه محل مؤثری برای Evasion کردن ابزارهای محبوبی مثل Mimikatz باشه،
اگر به کد پاورشلی تصویر مربوط به تعریف رمزنگاری CBC نگاه کنید میبینید که باز هم اسکریپت ورودی هکر بعد از یک دور فشرده شدن با Gzip میره برای رمز شدن به واسطه تعریف یک Cipher key بر مبنای یک IV Padding و معماری رمزنگاری CBC یا ECB
در تصویر دوم هم تعریف یک stub در اسکریپت خروجی رو مشاهده میکنید که به محض بارگذاری کد بر روی حافظه عملیات بازگردانی رمزنگاری رو انجام داده و اسکریپت مد نظر رو به اجرا در میاره،
https://github.com/the-xentropy/xencrypt
@Unk9vvN
در روش های سنتی سالهای دور همواره استفاده از تکنیک رمزنگاری شلکد اصلی و بازگردانی آن در حافظه به واسطه تعریف یک stub محبوب ترین روشی بود که برای دور زدن آنتی ویروس ها استفاده میشد،
اما امروزه اون تکنیک های PE Injection که بر بستر فایل فرمت PE عملیاتی میشد، نمیتونه روش خوبی برای دور زدن مکانیزم های شناسایی کننده باشه، اما این روش در مواجه با روش های Stageless امکان بکارگیری مجدد رو داره، و همین موضوع میتونه محل مؤثری برای Evasion کردن ابزارهای محبوبی مثل Mimikatz باشه،
اگر به کد پاورشلی تصویر مربوط به تعریف رمزنگاری CBC نگاه کنید میبینید که باز هم اسکریپت ورودی هکر بعد از یک دور فشرده شدن با Gzip میره برای رمز شدن به واسطه تعریف یک Cipher key بر مبنای یک IV Padding و معماری رمزنگاری CBC یا ECB
در تصویر دوم هم تعریف یک stub در اسکریپت خروجی رو مشاهده میکنید که به محض بارگذاری کد بر روی حافظه عملیات بازگردانی رمزنگاری رو انجام داده و اسکریپت مد نظر رو به اجرا در میاره،
https://github.com/the-xentropy/xencrypt
@Unk9vvN