#OOB #COM_Objects
یکی از راه های فرار از دست دیوایس های SOC همیشه استفاده از تکنیک های پرش بر روی COM Object های سیستم عامله که در جریان هر کدام از این Stage ها میشه قسمتی از کار و زمینه سازی برای اجرای Payload اصلی را انجام داد,
البته چند و چون این روش ها بسیار متغیر است و بعضا رفته رفته غیر قابل پیشبینی میشود مثل همین نوع سناریو ای که در تصویر است منظورم دانلود یک فایل فرمت تصویری هستش که در بتن اون با رمزنگاری Steganography پایلود گنجانده شده و به واسطه یک Stage دیگه دانلود و دیکد شده و پایلود اصلی در قالب یک DLL فایل که بصورت Reflective اجرا و دسترسی آخر C&C رو حاصل میکنه, روش جالبیه نه؟ اما دیگه قدیمیه...
https://www.fireeye.com/blog/threat-research/2019/06/hunting-com-objects.html
https://www.fireeye.com/blog/threat-research/2019/06/hunting-com-objects-part-two.html
@Unk9vvN
یکی از راه های فرار از دست دیوایس های SOC همیشه استفاده از تکنیک های پرش بر روی COM Object های سیستم عامله که در جریان هر کدام از این Stage ها میشه قسمتی از کار و زمینه سازی برای اجرای Payload اصلی را انجام داد,
البته چند و چون این روش ها بسیار متغیر است و بعضا رفته رفته غیر قابل پیشبینی میشود مثل همین نوع سناریو ای که در تصویر است منظورم دانلود یک فایل فرمت تصویری هستش که در بتن اون با رمزنگاری Steganography پایلود گنجانده شده و به واسطه یک Stage دیگه دانلود و دیکد شده و پایلود اصلی در قالب یک DLL فایل که بصورت Reflective اجرا و دسترسی آخر C&C رو حاصل میکنه, روش جالبیه نه؟ اما دیگه قدیمیه...
https://www.fireeye.com/blog/threat-research/2019/06/hunting-com-objects.html
https://www.fireeye.com/blog/threat-research/2019/06/hunting-com-objects-part-two.html
@Unk9vvN