#OOB #COM_Objects
یکی از راه های فرار از دست دیوایس های SOC همیشه استفاده از تکنیک های پرش بر روی COM Object های سیستم عامله که در جریان هر کدام از این Stage ها میشه قسمتی از کار و زمینه سازی برای اجرای Payload اصلی را انجام داد,
البته چند و چون این روش ها بسیار متغیر است و بعضا رفته رفته غیر قابل پیشبینی میشود مثل همین نوع سناریو ای که در تصویر است منظورم دانلود یک فایل فرمت تصویری هستش که در بتن اون با رمزنگاری Steganography پایلود گنجانده شده و به واسطه یک Stage دیگه دانلود و دیکد شده و پایلود اصلی در قالب یک DLL فایل که بصورت Reflective اجرا و دسترسی آخر C&C رو حاصل میکنه, روش جالبیه نه؟ اما دیگه قدیمیه...
https://www.fireeye.com/blog/threat-research/2019/06/hunting-com-objects.html
https://www.fireeye.com/blog/threat-research/2019/06/hunting-com-objects-part-two.html
@Unk9vvN
یکی از راه های فرار از دست دیوایس های SOC همیشه استفاده از تکنیک های پرش بر روی COM Object های سیستم عامله که در جریان هر کدام از این Stage ها میشه قسمتی از کار و زمینه سازی برای اجرای Payload اصلی را انجام داد,
البته چند و چون این روش ها بسیار متغیر است و بعضا رفته رفته غیر قابل پیشبینی میشود مثل همین نوع سناریو ای که در تصویر است منظورم دانلود یک فایل فرمت تصویری هستش که در بتن اون با رمزنگاری Steganography پایلود گنجانده شده و به واسطه یک Stage دیگه دانلود و دیکد شده و پایلود اصلی در قالب یک DLL فایل که بصورت Reflective اجرا و دسترسی آخر C&C رو حاصل میکنه, روش جالبیه نه؟ اما دیگه قدیمیه...
https://www.fireeye.com/blog/threat-research/2019/06/hunting-com-objects.html
https://www.fireeye.com/blog/threat-research/2019/06/hunting-com-objects-part-two.html
@Unk9vvN
#JScript OBF #HTA Attack
یکی از رایجترین حملات, استفاده از فایل فرمت های Front-End هستش فایل فرمت هایی مانند sct-hta-js-xml و غیره اما یکی از چالش هایی که در تمام این فایل فرمت ها وجود دارد بحث شناسایی پترنی هستش که در خصوص initialize کردن یک #COM_Object برای اجرای پایلودهای پاورشی ایجاد میشود,
از این روی یکی از تکنیک های جالبی که میتوان استفاده کرد این است که ما مقادیر مربوط به مثلا نام #COM_Object هارا بصورت هگزادسیمال تعریف کرده و پروسه Initialize کردن آنرا بر بستر نام هایی انجام دهیم که بوصورت هگزادسیمال درون یک آرایه ریخته شده و سپس براساس موقعیت قرارگیری آنها در آرایه آنهارا فراخوانی کنیم,
این امر میتواند به بحث شناسایی نشدن پایلود کمک کند و البته اگر بیشتر به این موضوع پرداخته شود میتوان پایلود رو به Evasion شدن ۱۰۰٪ نزدیک نمود....
@Unk9vvN
یکی از رایجترین حملات, استفاده از فایل فرمت های Front-End هستش فایل فرمت هایی مانند sct-hta-js-xml و غیره اما یکی از چالش هایی که در تمام این فایل فرمت ها وجود دارد بحث شناسایی پترنی هستش که در خصوص initialize کردن یک #COM_Object برای اجرای پایلودهای پاورشی ایجاد میشود,
از این روی یکی از تکنیک های جالبی که میتوان استفاده کرد این است که ما مقادیر مربوط به مثلا نام #COM_Object هارا بصورت هگزادسیمال تعریف کرده و پروسه Initialize کردن آنرا بر بستر نام هایی انجام دهیم که بوصورت هگزادسیمال درون یک آرایه ریخته شده و سپس براساس موقعیت قرارگیری آنها در آرایه آنهارا فراخوانی کنیم,
این امر میتواند به بحث شناسایی نشدن پایلود کمک کند و البته اگر بیشتر به این موضوع پرداخته شود میتوان پایلود رو به Evasion شدن ۱۰۰٪ نزدیک نمود....
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#ANGRYPUPPY #BloodHound Attack Automation in #Cobalt_Strike
همونطور که میدونید یک Tools بسیار محبوب در حوزه استخراج اطلاعات یک #ActiveDirectory فعال وجود داره به اسم #BloodHound که در این دمو توضیح داده میشه که با استفاده از یک Tools دیگه امکان اینو پیدا میکنیم که با اطلاعاتی که BloodHound برای ما استخراج میکنه از کاربران اون DMZ عملیات Pivot زدن به اونهارو راحت تر کرده و به نوعی #Lateral_Movement بین سیستمی انجام دهیم,
اما این Lateral_Movement بر بستر کدامین #COM یا #DCOM_Object ها پیاده سازی میشه؟ همونطور که سازنده محصول #ANGRYPUPPY توضیح داده این ابزار با استفاده از اطلاعاتی که BloodHound در اختیارش قرار میده میتونه بر روی
https://github.com/vysecurity/ANGRYPUPPY
https://github.com/BloodHoundAD/BloodHound
@Unk9vvN
همونطور که میدونید یک Tools بسیار محبوب در حوزه استخراج اطلاعات یک #ActiveDirectory فعال وجود داره به اسم #BloodHound که در این دمو توضیح داده میشه که با استفاده از یک Tools دیگه امکان اینو پیدا میکنیم که با اطلاعاتی که BloodHound برای ما استخراج میکنه از کاربران اون DMZ عملیات Pivot زدن به اونهارو راحت تر کرده و به نوعی #Lateral_Movement بین سیستمی انجام دهیم,
اما این Lateral_Movement بر بستر کدامین #COM یا #DCOM_Object ها پیاده سازی میشه؟ همونطور که سازنده محصول #ANGRYPUPPY توضیح داده این ابزار با استفاده از اطلاعاتی که BloodHound در اختیارش قرار میده میتونه بر روی
psexec, psexec_psh, wmi, winrm پیلود اجرا کرده و دسترسی سیستم عامل Parent رو برای ما حاصل کنه...https://github.com/vysecurity/ANGRYPUPPY
https://github.com/BloodHoundAD/BloodHound
@Unk9vvN
#COM #CnC #Koadic
چند سال پیش، یک خط فرمان و کنترلی در Github ثبت شد که در نوع خودش، یک CnC بسیار جالب بوده.
این CnC مبتنی بر Component Object Model های سیستم عامل کار میکرده و از ظرفیت سیستم عامل بر علیه خود آن استفاده می نمود.
دلیل جذابیت این CnC نیز همین است، که بواسطه COM ها اقدام به انجام فرامین مد نظر یک تیم قرمز میکرده است، ویژگی اصلی آن استفاده از تکنیک HTML Smuggling بوده که توسط ActiveXObject ها اعمال میشده است.
حالا بعد از گذشت چندین سال، هنوز این CnC که با نام Koadic شناخته میشود، قابلیت استفاده دارد، البته با کمی تغییر منابع آن.
نوع پیلود های ایجادی این CnC برپایه زبان JavaScript و VBScript بوده است، که بواسطه
اما در کنار آن دو، در مرحله ایجاد دسترسی نیز میتوان نوع پیلود های ایجادی را بواسطه
این روش ها اساسا، برای دور زدن محصولاتی مانند آنتی ویروس بسیار کارا هستند چرا که میتوان یک بدافزار را به چند Stage مختلف تقسیم نموده و به فرمت های مشروع سیستم عامل اجرا کرد.
@Unk9vvN
چند سال پیش، یک خط فرمان و کنترلی در Github ثبت شد که در نوع خودش، یک CnC بسیار جالب بوده.
این CnC مبتنی بر Component Object Model های سیستم عامل کار میکرده و از ظرفیت سیستم عامل بر علیه خود آن استفاده می نمود.
دلیل جذابیت این CnC نیز همین است، که بواسطه COM ها اقدام به انجام فرامین مد نظر یک تیم قرمز میکرده است، ویژگی اصلی آن استفاده از تکنیک HTML Smuggling بوده که توسط ActiveXObject ها اعمال میشده است.
حالا بعد از گذشت چندین سال، هنوز این CnC که با نام Koadic شناخته میشود، قابلیت استفاده دارد، البته با کمی تغییر منابع آن.
نوع پیلود های ایجادی این CnC برپایه زبان JavaScript و VBScript بوده است، که بواسطه
cscript.exe و wscript.exe قابلیت اجرایی پیدا میکند.اما در کنار آن دو، در مرحله ایجاد دسترسی نیز میتوان نوع پیلود های ایجادی را بواسطه
MSHTA.exe که اجراگر فایل فرمت HTA است، نیز ایجاد نمود.این روش ها اساسا، برای دور زدن محصولاتی مانند آنتی ویروس بسیار کارا هستند چرا که میتوان یک بدافزار را به چند Stage مختلف تقسیم نموده و به فرمت های مشروع سیستم عامل اجرا کرد.
@Unk9vvN