#DotNetToJScript
همیشه یکی از چالش های هکرها برای فرار از Detect شدن این بوده که با استفاده از COM آبجکت های مختلف و ترجیحا جدید بتوانند تطبق Struct که اون COM داره پایلودی رو ساخته و به اجرا در بیاورند, در سال 2017 محققی با نام مستعار enigma0x3 یکی از این سبک استفاده از COM آبجکت ها رو تشریح و سناریو سازی کرد,
نکته جالب این ماجرا اینه که این فرد درک کرده بود که DCOM آبجکتی با نام Outlook.Application که به دلیل امکان ارسال دستورات از راه دور از نوع آبجکت های DCOM دسته بندی میشه, دارای آبجکتی با نام ScriptControl هستش که همین موضوع موجب صدا زدن مفسرهای زبان VBScript و JScriptخواهد شد و با استفاده از JScript توانسته class های زبان NET. پایلودی که بصورت Serialize در آمده رو Deserialize و به اجرا در بیاورد, از این روی میتوان گفت کدهای #C رو میشود بر بستر JScript با استفاده از DCOM آبجکت توضیح داده شده اجرا کرد که همین موضوع منجر به دور زدن مکانیزم هایی میشود که دایره تحت نظر آنها کمتر بر بستر این مدل DCOM آبجکت ها میباشد...
REF
@Unk9vvN
همیشه یکی از چالش های هکرها برای فرار از Detect شدن این بوده که با استفاده از COM آبجکت های مختلف و ترجیحا جدید بتوانند تطبق Struct که اون COM داره پایلودی رو ساخته و به اجرا در بیاورند, در سال 2017 محققی با نام مستعار enigma0x3 یکی از این سبک استفاده از COM آبجکت ها رو تشریح و سناریو سازی کرد,
نکته جالب این ماجرا اینه که این فرد درک کرده بود که DCOM آبجکتی با نام Outlook.Application که به دلیل امکان ارسال دستورات از راه دور از نوع آبجکت های DCOM دسته بندی میشه, دارای آبجکتی با نام ScriptControl هستش که همین موضوع موجب صدا زدن مفسرهای زبان VBScript و JScriptخواهد شد و با استفاده از JScript توانسته class های زبان NET. پایلودی که بصورت Serialize در آمده رو Deserialize و به اجرا در بیاورد, از این روی میتوان گفت کدهای #C رو میشود بر بستر JScript با استفاده از DCOM آبجکت توضیح داده شده اجرا کرد که همین موضوع منجر به دور زدن مکانیزم هایی میشود که دایره تحت نظر آنها کمتر بر بستر این مدل DCOM آبجکت ها میباشد...
REF
@Unk9vvN
#Net_Framework Compiler (#MSBuild)
استفاده از کامپایلر NET. در خصوص دور زدن EDR ها بسیار کارآمد بوده و همواره استفاده میشه,
استفاده از تابع Unregister در زبان #C این امکان رو میده که با استفاده از پارسرUnregisterAssembly اجرا کرد, این پارسر در خصوص ویژوال استودیو طراحی شده اما میتونه به نفع هکر نقش ایفا کنه,
همونطور که در تصویر میبینید اگر یک سورس کد با تابع نام برده شده ساخته بشه که مامور اجرای یک ماشین حساب هستش, میتونه با استفاده از MSBuild کامپایل شده و DLL خروجی گرفته شده با استفاده از پارسر مربوط به ویژوال استودیو به دست خود کامپایلر صدا و اجرا بشه,
زمانی که در یک سیستم عامل سورس کد خامی ساخته میشه حساسیتی برای Detection ها نخواهد داشت اما زمانی که همان سورس کد کامپایل و اجرا میشه میتونه موجب رخداد یک دسترسی بشه,
هکر میتونه Stage های بعدی خودش رو به این صورت اجرا کنه و Stage های ابتدایی خودش رو صرفاً یک Echo قرار بده بدین ترتیب رفتار شناسی حمله بسیار دشوار خواهد شد...
https://t.me/Unk9vvN/1126
@Unk9vvN
استفاده از کامپایلر NET. در خصوص دور زدن EDR ها بسیار کارآمد بوده و همواره استفاده میشه,
استفاده از تابع Unregister در زبان #C این امکان رو میده که با استفاده از پارسرUnregisterAssembly اجرا کرد, این پارسر در خصوص ویژوال استودیو طراحی شده اما میتونه به نفع هکر نقش ایفا کنه,
همونطور که در تصویر میبینید اگر یک سورس کد با تابع نام برده شده ساخته بشه که مامور اجرای یک ماشین حساب هستش, میتونه با استفاده از MSBuild کامپایل شده و DLL خروجی گرفته شده با استفاده از پارسر مربوط به ویژوال استودیو به دست خود کامپایلر صدا و اجرا بشه,
زمانی که در یک سیستم عامل سورس کد خامی ساخته میشه حساسیتی برای Detection ها نخواهد داشت اما زمانی که همان سورس کد کامپایل و اجرا میشه میتونه موجب رخداد یک دسترسی بشه,
هکر میتونه Stage های بعدی خودش رو به این صورت اجرا کنه و Stage های ابتدایی خودش رو صرفاً یک Echo قرار بده بدین ترتیب رفتار شناسی حمله بسیار دشوار خواهد شد...
https://t.me/Unk9vvN/1126
@Unk9vvN
#ICMP Deliver Shellcode ( #Exfiltration )
یکی از روش های Exfiltration یا مخفی سازی کانال ارتباطی با CnC اینه که Shellcode اصلی خودمون رو در مکانی قرار بدیم که وقتی مثلا قراره به واسطه یک دانلودر Stage اول دریافت بشه, در معرض دید مکانیزم های شناسایی کننده تحت شبکه و Endpoint Security نباشه,
یعنی فیلد یا مناطقی قرار نداشته باشه که مکانیزم ها یا متخصصین BlueTeam بتوانند رصدش بکنند, خب یکی از سناریو های طرح شده این بوده که Shellcode رو در قالب ICMP Request به سیستم عامل قربانی ارسال کنیم, چرا که 65,000 بایت داده میتونه بگیره که برای ارسال Shellcode مناسبه,
همونطور که در تصویر شماره یک پست میبینید پیلودی از MSF دریافت شده بر مبنای زبان #C که در Initial آبجک ساخته شده از کلاس Ping ریخته شده و در قالب یک ICMP Request به سمت قربانی ارسال میشه,
در تصویر دوم Stage مختص به دریافت Shellcode تعریف شده که بعد از Import API سیستم عامل برای دریافت Shellcode از Sockettype.Raw و رایت کردن اون در یک پراسس برنامه ای مشخص مثل Notepad استفاده شده و با استفاده از توابع سیستمی یک Thread برای Shellcode ایجاد میشه...
SRC
@Unk9vvN
یکی از روش های Exfiltration یا مخفی سازی کانال ارتباطی با CnC اینه که Shellcode اصلی خودمون رو در مکانی قرار بدیم که وقتی مثلا قراره به واسطه یک دانلودر Stage اول دریافت بشه, در معرض دید مکانیزم های شناسایی کننده تحت شبکه و Endpoint Security نباشه,
یعنی فیلد یا مناطقی قرار نداشته باشه که مکانیزم ها یا متخصصین BlueTeam بتوانند رصدش بکنند, خب یکی از سناریو های طرح شده این بوده که Shellcode رو در قالب ICMP Request به سیستم عامل قربانی ارسال کنیم, چرا که 65,000 بایت داده میتونه بگیره که برای ارسال Shellcode مناسبه,
همونطور که در تصویر شماره یک پست میبینید پیلودی از MSF دریافت شده بر مبنای زبان #C که در Initial آبجک ساخته شده از کلاس Ping ریخته شده و در قالب یک ICMP Request به سمت قربانی ارسال میشه,
در تصویر دوم Stage مختص به دریافت Shellcode تعریف شده که بعد از Import API سیستم عامل برای دریافت Shellcode از Sockettype.Raw و رایت کردن اون در یک پراسس برنامه ای مشخص مثل Notepad استفاده شده و با استفاده از توابع سیستمی یک Thread برای Shellcode ایجاد میشه...
SRC
@Unk9vvN
#Exploit Public-Facing Application
به لطف تحقیقات عمومی شده محقق معروف یعنی Orange Tsai کشور ما در عرصه حملات سایبری توانسته خودنمایی خوبی از خود نشان بدهد
موضوعی که دلیل وجودی کنفرانس ها و حمایت های تحقیقاتی که در همه جای دنیا شرکت های خصوصی و دستگاه های حاکمیتی در بحث علوم امنیت سایبر انجام میدهند، منظور دقیق تر این است که زمانی که شما پتانسیل تحقیقاتی کشور رو فعال نکنید همواره نیروی انسانی رو راهی کشور های خارجی کرده و یک قدم حتی در حوزه حملات سایبری از دنیا عقب خواهید بود
اما در خصوص حملات اخیر ایران: گفته شده از ابزار SharpWMI که مبتنی بر زبان #C و با استفاده از Functionality های WMI کار میکند مورد استفاده بوده و در بحث ایجاد Persistence از تکنیک T1053.005 که مبتنی بر XML است بهره گرفته شده
از دیگر موارد میتوان به اهداف حمله در پلن Impact اشاره کرد که رویکرد ایران نصب باج افزاری با نام BlackMatter بوده که قرار به رمز کردن فایل های حساس رو داشته
مورد بعد استفاده از پروتکل FTP بصورت Over Alternative Protocol بر روی درگاه 443 بوده که سعی بر شناسایی نشدن بوده.
https://t.me/Unk9vvN/1997
@Unk9vvN
به لطف تحقیقات عمومی شده محقق معروف یعنی Orange Tsai کشور ما در عرصه حملات سایبری توانسته خودنمایی خوبی از خود نشان بدهد
موضوعی که دلیل وجودی کنفرانس ها و حمایت های تحقیقاتی که در همه جای دنیا شرکت های خصوصی و دستگاه های حاکمیتی در بحث علوم امنیت سایبر انجام میدهند، منظور دقیق تر این است که زمانی که شما پتانسیل تحقیقاتی کشور رو فعال نکنید همواره نیروی انسانی رو راهی کشور های خارجی کرده و یک قدم حتی در حوزه حملات سایبری از دنیا عقب خواهید بود
اما در خصوص حملات اخیر ایران: گفته شده از ابزار SharpWMI که مبتنی بر زبان #C و با استفاده از Functionality های WMI کار میکند مورد استفاده بوده و در بحث ایجاد Persistence از تکنیک T1053.005 که مبتنی بر XML است بهره گرفته شده
از دیگر موارد میتوان به اهداف حمله در پلن Impact اشاره کرد که رویکرد ایران نصب باج افزاری با نام BlackMatter بوده که قرار به رمز کردن فایل های حساس رو داشته
مورد بعد استفاده از پروتکل FTP بصورت Over Alternative Protocol بر روی درگاه 443 بوده که سعی بر شناسایی نشدن بوده.
https://t.me/Unk9vvN/1997
@Unk9vvN