#Defense_Evasion with #Multi_Staging
یک ساله پیش یک دمو از فرایند های خیلی معمولی برای دور زدن مکانیزم های دفاعی ارائه دادیم که در آن یک نمونه از پیاده سازی پیلود ریزی چند مرحله ای رو نشون دادیم که میتونه مکانیزم های Signature Based Detection و Heuristic Detection رو دور بزنه، سالهاست این روش داره استفاده میشه،
در تصویر پست همونطور که مشاهده میکنید بواسطه یه اسکریپت Batch میتونیم یک اسکریپت VBS رو Echo کنیم که به عنوان Downloader عمل کند، تکنیک های دیگه هم استفاده شده در دمو که مراحل Execution در منطقه Whitelist و دور زدن مکانیزم UAC هم مطرح میشه...
لینک دمو:
https://www.aparat.com/v/HKk6Y
@Unk9vvN
یک ساله پیش یک دمو از فرایند های خیلی معمولی برای دور زدن مکانیزم های دفاعی ارائه دادیم که در آن یک نمونه از پیاده سازی پیلود ریزی چند مرحله ای رو نشون دادیم که میتونه مکانیزم های Signature Based Detection و Heuristic Detection رو دور بزنه، سالهاست این روش داره استفاده میشه،
در تصویر پست همونطور که مشاهده میکنید بواسطه یه اسکریپت Batch میتونیم یک اسکریپت VBS رو Echo کنیم که به عنوان Downloader عمل کند، تکنیک های دیگه هم استفاده شده در دمو که مراحل Execution در منطقه Whitelist و دور زدن مکانیزم UAC هم مطرح میشه...
لینک دمو:
https://www.aparat.com/v/HKk6Y
@Unk9vvN
#Defense_Evasion #Powershell_Crypter
در روش های سنتی سالهای دور همواره استفاده از تکنیک رمزنگاری شلکد اصلی و بازگردانی آن در حافظه به واسطه تعریف یک stub محبوب ترین روشی بود که برای دور زدن آنتی ویروس ها استفاده میشد،
اما امروزه اون تکنیک های PE Injection که بر بستر فایل فرمت PE عملیاتی میشد، نمیتونه روش خوبی برای دور زدن مکانیزم های شناسایی کننده باشه، اما این روش در مواجه با روش های Stageless امکان بکارگیری مجدد رو داره، و همین موضوع میتونه محل مؤثری برای Evasion کردن ابزارهای محبوبی مثل Mimikatz باشه،
اگر به کد پاورشلی تصویر مربوط به تعریف رمزنگاری CBC نگاه کنید میبینید که باز هم اسکریپت ورودی هکر بعد از یک دور فشرده شدن با Gzip میره برای رمز شدن به واسطه تعریف یک Cipher key بر مبنای یک IV Padding و معماری رمزنگاری CBC یا ECB
در تصویر دوم هم تعریف یک stub در اسکریپت خروجی رو مشاهده میکنید که به محض بارگذاری کد بر روی حافظه عملیات بازگردانی رمزنگاری رو انجام داده و اسکریپت مد نظر رو به اجرا در میاره،
https://github.com/the-xentropy/xencrypt
@Unk9vvN
در روش های سنتی سالهای دور همواره استفاده از تکنیک رمزنگاری شلکد اصلی و بازگردانی آن در حافظه به واسطه تعریف یک stub محبوب ترین روشی بود که برای دور زدن آنتی ویروس ها استفاده میشد،
اما امروزه اون تکنیک های PE Injection که بر بستر فایل فرمت PE عملیاتی میشد، نمیتونه روش خوبی برای دور زدن مکانیزم های شناسایی کننده باشه، اما این روش در مواجه با روش های Stageless امکان بکارگیری مجدد رو داره، و همین موضوع میتونه محل مؤثری برای Evasion کردن ابزارهای محبوبی مثل Mimikatz باشه،
اگر به کد پاورشلی تصویر مربوط به تعریف رمزنگاری CBC نگاه کنید میبینید که باز هم اسکریپت ورودی هکر بعد از یک دور فشرده شدن با Gzip میره برای رمز شدن به واسطه تعریف یک Cipher key بر مبنای یک IV Padding و معماری رمزنگاری CBC یا ECB
در تصویر دوم هم تعریف یک stub در اسکریپت خروجی رو مشاهده میکنید که به محض بارگذاری کد بر روی حافظه عملیات بازگردانی رمزنگاری رو انجام داده و اسکریپت مد نظر رو به اجرا در میاره،
https://github.com/the-xentropy/xencrypt
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Iranian #Passive #Defense
اولین عامل، نفوذ به شبکه های سلولی که بیش از 3 سال پیش مطلبی در این کانال بابتش منتشر کردیم و استناد کردیم به آزمایشگاه GSM آلمان که با بررسی زیرساخت های شبکه سلولی ایران، گزارش داده بود زیرساخت شبکه سلولی ایران دارای آسیب پذیری های امنیتی متعدد است.
دومین عامل، پایش دقیق ماهواره ای و تحرکات فرماندهان ایرانی بواسطه دوربین های پیشرفته ماهواره ای و ردیابی حرکتی فرمانده ها بواسطه هوش مصنوعی که شرکت Rafael از آن با نام سامانه Puzzle یاد میکند.
سومین عامل ،استفاده از عوامل نفوذی شبکه موساد در داخل ایران با نام شاخه زیتون است که سالهاست در بدنه حکمرانی کشور عوامل و افراد خود را چیده و از داخل بواسطه استراتژی #فروپاشی_از_درون اقدامات تکمیلی را انجام میدهد که البته بسیاری از این عوامل طی سالهای اخیر رمزگشایی شده اند.
چهارمین عامل، نفوذ به پایگاه داده های حساس کشور طی سالهای اخیر که موجب تکمیل داده های اولیه بوده است و نفوذ به بانک سپه نیز از این دست عملیات ها بود که توانست پازل اطلاعاتی دشمن ها تکمیل نماید.
پنجمین عامل، شنود ترافیک کشور در مرز های ایران توسط GCHQ است.
@Unk9vvN
اولین عامل، نفوذ به شبکه های سلولی که بیش از 3 سال پیش مطلبی در این کانال بابتش منتشر کردیم و استناد کردیم به آزمایشگاه GSM آلمان که با بررسی زیرساخت های شبکه سلولی ایران، گزارش داده بود زیرساخت شبکه سلولی ایران دارای آسیب پذیری های امنیتی متعدد است.
دومین عامل، پایش دقیق ماهواره ای و تحرکات فرماندهان ایرانی بواسطه دوربین های پیشرفته ماهواره ای و ردیابی حرکتی فرمانده ها بواسطه هوش مصنوعی که شرکت Rafael از آن با نام سامانه Puzzle یاد میکند.
سومین عامل ،استفاده از عوامل نفوذی شبکه موساد در داخل ایران با نام شاخه زیتون است که سالهاست در بدنه حکمرانی کشور عوامل و افراد خود را چیده و از داخل بواسطه استراتژی #فروپاشی_از_درون اقدامات تکمیلی را انجام میدهد که البته بسیاری از این عوامل طی سالهای اخیر رمزگشایی شده اند.
چهارمین عامل، نفوذ به پایگاه داده های حساس کشور طی سالهای اخیر که موجب تکمیل داده های اولیه بوده است و نفوذ به بانک سپه نیز از این دست عملیات ها بود که توانست پازل اطلاعاتی دشمن ها تکمیل نماید.
پنجمین عامل، شنود ترافیک کشور در مرز های ایران توسط GCHQ است.
@Unk9vvN