#VBScript for File Transfer
یکی از چالش های همیشگی هکرهای #RedTeam انجام عملیات Transfer File بر روی سیستم قربانی هستش, حالا یک اسکریپت به زبان VBScript رو میبینیم در VisualCode که البته این اسکریپت , بر روی یک فایل BAT هستش که با اجرا شدن اون یا اجرای دستورات بصورت مستفیم در cmd میتونیم اسکریپت VBS خودمون رو بسیازیم در Directory مربوطه , و بعد از اون با استفاده از مفسر فایل فرمت VBS یعنی cscript دستور دانلود فایل رو از وبسرور هکر بدیم,
این کار در خط فرمان cmd در تصویر انجام شده و فایل با موفقیت Transfer شده, یک نکته بگم اینجا برای دور زدن مکانیزم های Detection نباید فایل فرمت های PE رو Transfer کرد چرا که Detect شدن اونها بسیار درصد بالایی داره اینجا از shellcode هایی میبایست استفاده کرد که بصورت MultiStage میان و پایلود اصلی رو بصورت ENC شده Transfer میکنند,
اما خب تا همین جای کار که ما بتونیم یک Transfer بر بستر زبان های Interpreter مانند VBS داشته باشیم, خودش گزینه خوبی برای فرار از Detection ها هستش, با این روش میشه دسترسی های Shell رو به سطح دسترسی Meterpreter برد.
@Unk9vvN
یکی از چالش های همیشگی هکرهای #RedTeam انجام عملیات Transfer File بر روی سیستم قربانی هستش, حالا یک اسکریپت به زبان VBScript رو میبینیم در VisualCode که البته این اسکریپت , بر روی یک فایل BAT هستش که با اجرا شدن اون یا اجرای دستورات بصورت مستفیم در cmd میتونیم اسکریپت VBS خودمون رو بسیازیم در Directory مربوطه , و بعد از اون با استفاده از مفسر فایل فرمت VBS یعنی cscript دستور دانلود فایل رو از وبسرور هکر بدیم,
این کار در خط فرمان cmd در تصویر انجام شده و فایل با موفقیت Transfer شده, یک نکته بگم اینجا برای دور زدن مکانیزم های Detection نباید فایل فرمت های PE رو Transfer کرد چرا که Detect شدن اونها بسیار درصد بالایی داره اینجا از shellcode هایی میبایست استفاده کرد که بصورت MultiStage میان و پایلود اصلی رو بصورت ENC شده Transfer میکنند,
اما خب تا همین جای کار که ما بتونیم یک Transfer بر بستر زبان های Interpreter مانند VBS داشته باشیم, خودش گزینه خوبی برای فرار از Detection ها هستش, با این روش میشه دسترسی های Shell رو به سطح دسترسی Meterpreter برد.
@Unk9vvN
#VBScript #Macro Attack
گاهی وقت ها نیازی نیست که حتما برای بدست آوردن اطلاعات حساس و مورد نیاز اقدام به گرفتن دسترسی Shell یا سطوح بالاتر باشه,
بلکه نیازه که صرفاء یک کلید رجیستری دوباره باز نویسی بشه, در ماکرو تعریف شده در تصویر که البته بصورت مبهم نوشته شده سناریویی طرح ریزی تغییر HomePage نرم افزار Outlook توسط کلید رجیستری تعریف شده هست , که البته این آسیب پذیری پح شده اما سناریو انجام شده نکات جالبی برای ما دارا هستش,
از دیگر نکات جالب میتوان به روش مبهم سازی کلیدها اشاره کرد که با تابع ()Replace مقادیر ما بین کلیدها یعنی Pipe ها از بین رفته و در نهایت کلید اصلی ساخته میشود, البته باید به این موضوع هم اشاره کرد که نوع عملیات انجام شده توسط ماکرو حساسیت کمتری برای دیوایس های Detection ایجاد میکنه که این هم یک امتیاز مثبی هستش...
https://blog.trendmicro.com/trendlabs-security-intelligence/malicious-macro-hijacks-desktop-shortcuts-to-deliver-backdoor/
@Unk9vvN
گاهی وقت ها نیازی نیست که حتما برای بدست آوردن اطلاعات حساس و مورد نیاز اقدام به گرفتن دسترسی Shell یا سطوح بالاتر باشه,
بلکه نیازه که صرفاء یک کلید رجیستری دوباره باز نویسی بشه, در ماکرو تعریف شده در تصویر که البته بصورت مبهم نوشته شده سناریویی طرح ریزی تغییر HomePage نرم افزار Outlook توسط کلید رجیستری تعریف شده هست , که البته این آسیب پذیری پح شده اما سناریو انجام شده نکات جالبی برای ما دارا هستش,
از دیگر نکات جالب میتوان به روش مبهم سازی کلیدها اشاره کرد که با تابع ()Replace مقادیر ما بین کلیدها یعنی Pipe ها از بین رفته و در نهایت کلید اصلی ساخته میشود, البته باید به این موضوع هم اشاره کرد که نوع عملیات انجام شده توسط ماکرو حساسیت کمتری برای دیوایس های Detection ایجاد میکنه که این هم یک امتیاز مثبی هستش...
https://blog.trendmicro.com/trendlabs-security-intelligence/malicious-macro-hijacks-desktop-shortcuts-to-deliver-backdoor/
@Unk9vvN