#AMSI Microsoft Bypass
یکی از چالش های حال حاضر Red Teamer ها در بحث اجرای پیلود با استفاده از تعریف Macro برای محصولات Word و Excel از دسته محصولات Office هستش,
حالا محققی استفاده از پتانسیلی که زبان VBA در خصوص Import کردن توابع UserLand که در API سیستم عامل ویندوز وجود داره اقدام به دستکاری نتیجه بازگشتی تابع ()AmsiScanBuffer که مسئول بررسی داده های تعریفی برای COM Object های سیستم عامل هستش,
اما این دور زدن به چه صورت هستش؟ محقق با بررسی حافظه تعریف شده برای Context مربوط به تابع نام برده شده متوجه این موضوع شده که تابع در Segment حافظه Heap برقرار میشه, حالا با استفاده از تابع ()CoTaskMemAlloc که از توابع API سیستم عامل هست اقدام به اشاره به آدرس Offset تعیین شده ای میکنه که Context مربوط به AMSI در اونجا قرار داره,
قبل از اینکه پیلود هکر به مرحله اجرا برسه از اونجا که AMSI یک بار یک کد رو بررسی میکنه هکر با دستکاری که میکنه نتیجه AMSI رو 0 برمیگردونه تا در مرحله بعد اقدامی برای بررسی پیلود صورت نگیره توضیحات بیشتر در وبلاگ محقق...
Blog
@Unk9vvN
یکی از چالش های حال حاضر Red Teamer ها در بحث اجرای پیلود با استفاده از تعریف Macro برای محصولات Word و Excel از دسته محصولات Office هستش,
حالا محققی استفاده از پتانسیلی که زبان VBA در خصوص Import کردن توابع UserLand که در API سیستم عامل ویندوز وجود داره اقدام به دستکاری نتیجه بازگشتی تابع ()AmsiScanBuffer که مسئول بررسی داده های تعریفی برای COM Object های سیستم عامل هستش,
اما این دور زدن به چه صورت هستش؟ محقق با بررسی حافظه تعریف شده برای Context مربوط به تابع نام برده شده متوجه این موضوع شده که تابع در Segment حافظه Heap برقرار میشه, حالا با استفاده از تابع ()CoTaskMemAlloc که از توابع API سیستم عامل هست اقدام به اشاره به آدرس Offset تعیین شده ای میکنه که Context مربوط به AMSI در اونجا قرار داره,
قبل از اینکه پیلود هکر به مرحله اجرا برسه از اونجا که AMSI یک بار یک کد رو بررسی میکنه هکر با دستکاری که میکنه نتیجه AMSI رو 0 برمیگردونه تا در مرحله بعد اقدامی برای بررسی پیلود صورت نگیره توضیحات بیشتر در وبلاگ محقق...
Blog
@Unk9vvN