#Donut #ETW Bypass #Module_Overloading
ابزار Donut یک ابزار در راستای اجرای فایل های VBScript، JScript، EXE، DLL و dotNET Assembly در حافظه رو امکان پذیر میکنه بی آنکه Stage بر روی حافظه سخت قرار داشته باشه. همچنین امکان فراخوانی یک Stage از یک وبسرور بواسطه درخواست HTTP انجام شده و در Loader جاسازی شود.
اما موضوعی که جذابه اینه که یکی از ویژگی های این ابزار اینه که بواسطه تکنیک Module Overloading که امکان اینرو میده که در یک فایل اجرایی Native PE بشود یک Manual Mapping انجام داد که بواسطه اون میشود فایل Map شده در حافظه رو Overwrite کرد.
گفته شده این تکنیک موجب میشه مکانیزم تشخیص مبتنی بر Process Injection دور زد، چرا که کد اجرایی مهاجم در حافظه در فایل روی دیسک Map نشده است.
این ماژول که با نام Decoy طراحی و بواسطه توابع NtCreateSection و NtMapViewOfSection کار میکنه، یک Legitimate Executable در زمان Map شدن در حافظه ایجاد میکنه، برای Overwrite کردن شلکد مد نظر در Section فایل فرمت PE.
@Unk9vvN
ابزار Donut یک ابزار در راستای اجرای فایل های VBScript، JScript، EXE، DLL و dotNET Assembly در حافظه رو امکان پذیر میکنه بی آنکه Stage بر روی حافظه سخت قرار داشته باشه. همچنین امکان فراخوانی یک Stage از یک وبسرور بواسطه درخواست HTTP انجام شده و در Loader جاسازی شود.
اما موضوعی که جذابه اینه که یکی از ویژگی های این ابزار اینه که بواسطه تکنیک Module Overloading که امکان اینرو میده که در یک فایل اجرایی Native PE بشود یک Manual Mapping انجام داد که بواسطه اون میشود فایل Map شده در حافظه رو Overwrite کرد.
گفته شده این تکنیک موجب میشه مکانیزم تشخیص مبتنی بر Process Injection دور زد، چرا که کد اجرایی مهاجم در حافظه در فایل روی دیسک Map نشده است.
این ماژول که با نام Decoy طراحی و بواسطه توابع NtCreateSection و NtMapViewOfSection کار میکنه، یک Legitimate Executable در زمان Map شدن در حافظه ایجاد میکنه، برای Overwrite کردن شلکد مد نظر در Section فایل فرمت PE.
@Unk9vvN