#ICMP Deliver Shellcode ( #Exfiltration )
یکی از روش های Exfiltration یا مخفی سازی کانال ارتباطی با CnC اینه که Shellcode اصلی خودمون رو در مکانی قرار بدیم که وقتی مثلا قراره به واسطه یک دانلودر Stage اول دریافت بشه, در معرض دید مکانیزم های شناسایی کننده تحت شبکه و Endpoint Security نباشه,
یعنی فیلد یا مناطقی قرار نداشته باشه که مکانیزم ها یا متخصصین BlueTeam بتوانند رصدش بکنند, خب یکی از سناریو های طرح شده این بوده که Shellcode رو در قالب ICMP Request به سیستم عامل قربانی ارسال کنیم, چرا که 65,000 بایت داده میتونه بگیره که برای ارسال Shellcode مناسبه,
همونطور که در تصویر شماره یک پست میبینید پیلودی از MSF دریافت شده بر مبنای زبان #C که در Initial آبجک ساخته شده از کلاس Ping ریخته شده و در قالب یک ICMP Request به سمت قربانی ارسال میشه,
در تصویر دوم Stage مختص به دریافت Shellcode تعریف شده که بعد از Import API سیستم عامل برای دریافت Shellcode از Sockettype.Raw و رایت کردن اون در یک پراسس برنامه ای مشخص مثل Notepad استفاده شده و با استفاده از توابع سیستمی یک Thread برای Shellcode ایجاد میشه...
SRC
@Unk9vvN
یکی از روش های Exfiltration یا مخفی سازی کانال ارتباطی با CnC اینه که Shellcode اصلی خودمون رو در مکانی قرار بدیم که وقتی مثلا قراره به واسطه یک دانلودر Stage اول دریافت بشه, در معرض دید مکانیزم های شناسایی کننده تحت شبکه و Endpoint Security نباشه,
یعنی فیلد یا مناطقی قرار نداشته باشه که مکانیزم ها یا متخصصین BlueTeam بتوانند رصدش بکنند, خب یکی از سناریو های طرح شده این بوده که Shellcode رو در قالب ICMP Request به سیستم عامل قربانی ارسال کنیم, چرا که 65,000 بایت داده میتونه بگیره که برای ارسال Shellcode مناسبه,
همونطور که در تصویر شماره یک پست میبینید پیلودی از MSF دریافت شده بر مبنای زبان #C که در Initial آبجک ساخته شده از کلاس Ping ریخته شده و در قالب یک ICMP Request به سمت قربانی ارسال میشه,
در تصویر دوم Stage مختص به دریافت Shellcode تعریف شده که بعد از Import API سیستم عامل برای دریافت Shellcode از Sockettype.Raw و رایت کردن اون در یک پراسس برنامه ای مشخص مثل Notepad استفاده شده و با استفاده از توابع سیستمی یک Thread برای Shellcode ایجاد میشه...
SRC
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Airgap #Exfiltration #Malware
سالها پیش پستی در خصوص فعالیت های آزمایشگاه امنیت سایبری دانشگاه Ben Gurion کشور جعلی اسرائیل مطرح کردیم که مدل سازی حملات به شبکه های Air-Gap که از محدود ترین مدل های شبکه ای بوده و معمولا در مجموعه های صنعتی استفاده میشود، ارائه شده است.
حالا محققین این دانشگاه یک مقاله جدید با نام COVID-bit ارائه دادند که بواسطه تولید جریان الکترو مغناطیسی با فرکانس پایین بین 0 تا 60 کیلوهرتز توسط یک بدافزار از قبل نشسته در سیستم قربانی، منتشر شده تا مهاجم از فاصله دو متری و بیشتر امکان دریافت اطلاعات حساسی رو داشته باشه.
این دریافت عنوان شده که بواسطه یک آنتن کوچیک یک دلاری هم امکان پذیره که بواسطه یک جاسوس میتونه اتفاق بی افته و اطلاعات حساسی رو به یک گوشی هوشمند تا حداکثر سرعت 1000 بیت در ثانیه، منتقل کنه.
این تولید جریان الکترو مغناطیسی بواسطه دستکاری جریان اجرایی هسته های پردازنده اتفاق می افته، یعنی با کنترل نحوه عمل پردازنده ها مبتنی بر بار پردازشی وارده، امکان تولید فرکانس های ضعیفی خواهد بود که بصورت دو دویی و معنادار، اقدام به ارسال اطلاعات کنند.
@Unk9vvN
سالها پیش پستی در خصوص فعالیت های آزمایشگاه امنیت سایبری دانشگاه Ben Gurion کشور جعلی اسرائیل مطرح کردیم که مدل سازی حملات به شبکه های Air-Gap که از محدود ترین مدل های شبکه ای بوده و معمولا در مجموعه های صنعتی استفاده میشود، ارائه شده است.
حالا محققین این دانشگاه یک مقاله جدید با نام COVID-bit ارائه دادند که بواسطه تولید جریان الکترو مغناطیسی با فرکانس پایین بین 0 تا 60 کیلوهرتز توسط یک بدافزار از قبل نشسته در سیستم قربانی، منتشر شده تا مهاجم از فاصله دو متری و بیشتر امکان دریافت اطلاعات حساسی رو داشته باشه.
این دریافت عنوان شده که بواسطه یک آنتن کوچیک یک دلاری هم امکان پذیره که بواسطه یک جاسوس میتونه اتفاق بی افته و اطلاعات حساسی رو به یک گوشی هوشمند تا حداکثر سرعت 1000 بیت در ثانیه، منتقل کنه.
این تولید جریان الکترو مغناطیسی بواسطه دستکاری جریان اجرایی هسته های پردازنده اتفاق می افته، یعنی با کنترل نحوه عمل پردازنده ها مبتنی بر بار پردازشی وارده، امکان تولید فرکانس های ضعیفی خواهد بود که بصورت دو دویی و معنادار، اقدام به ارسال اطلاعات کنند.
@Unk9vvN