#Win_Defender #JS_Killer
در روش های استفاده شده در باج افزارها و بدافزارها دیده میشه که چگونه قبل از اجرای پایلود اصلی مکانیزم های دفاعی سیستم عامل رو خاموش یا حذف میکنند, یکی از روش های اینکار استفاده از COM_Object ها در اسکریپت های Stateless میتونه باشه که در قالب یک فایل فرمت با استفاده از COM_Object مربوطه به اجرا و ماموریت خودش رو انجام میده
در این راستا بعضاء دیده میشه که زبان هایی مانند JavaScript یا CSharp و دیگر زبان های پویا امکان برقراری مثلا با Registry سیستم عامل رو دارا هستند,خب این میتونه گزینه خوبی برای ما باشه چرا که با استفاده از کلیدهایی مانند ms-settings که ماهیت اجرای یک دستور رو برای ما داره استفاده کنیم و یک دستور پاورشلی یا خود batch ست و اجرا بشه,
همانطور که در تصویر پست مشاهده میکنید هکر اول با استفاده از WQL یا Windows Query Language یک کوئری رو اجرا میکنه برای بکارگیری سرویس Win32_Service و به واسطه اون خواندن ورژن خوانده شده ۱۰ باشه پایلود مربوط به سیستم عامل ویندوز ۱۰ در کلید رجیستری ست خواهد شد و اگر عدد ۶ باشه پایلود مربوط به ویندوز های ورژن پایین تر ست خواهد شد.
@Unk9vvN
در روش های استفاده شده در باج افزارها و بدافزارها دیده میشه که چگونه قبل از اجرای پایلود اصلی مکانیزم های دفاعی سیستم عامل رو خاموش یا حذف میکنند, یکی از روش های اینکار استفاده از COM_Object ها در اسکریپت های Stateless میتونه باشه که در قالب یک فایل فرمت با استفاده از COM_Object مربوطه به اجرا و ماموریت خودش رو انجام میده
در این راستا بعضاء دیده میشه که زبان هایی مانند JavaScript یا CSharp و دیگر زبان های پویا امکان برقراری مثلا با Registry سیستم عامل رو دارا هستند,خب این میتونه گزینه خوبی برای ما باشه چرا که با استفاده از کلیدهایی مانند ms-settings که ماهیت اجرای یک دستور رو برای ما داره استفاده کنیم و یک دستور پاورشلی یا خود batch ست و اجرا بشه,
همانطور که در تصویر پست مشاهده میکنید هکر اول با استفاده از WQL یا Windows Query Language یک کوئری رو اجرا میکنه برای بکارگیری سرویس Win32_Service و به واسطه اون خواندن ورژن خوانده شده ۱۰ باشه پایلود مربوط به سیستم عامل ویندوز ۱۰ در کلید رجیستری ست خواهد شد و اگر عدد ۶ باشه پایلود مربوط به ویندوز های ورژن پایین تر ست خواهد شد.
@Unk9vvN