Windows_Defender_Killer_JS

The methods used in ransomware and malware show how to disable or remove operating system defense mechanisms before executing the main payload. One way to do this is to use COM_Objects in Stateless scripts in the form of a file. The format executes its mission using the corresponding COM_Object

In this regard, it is sometimes seen that languages such as JavaScript or CSharp and other dynamic languages have the ability to interact with, for example, OS Registry, so this can be a good option for us because it uses keys like ms-settings that are executable It’s going to use a command for us to execute a batch or batch command.

As you can see in the post image, the first hacker executes a query using WQL or Windows Query Language to read the Win32_Service service and read the read version; OK, the Windows operating system download will be in the registry key, and If the number is 2, the payload will be lower for windows version.

#Windows_Defender_Killer_JS
در روش های استفاده شده در باج افزارها و بدافزارها دیده میشه که چگونه قبل از اجرای پایلود اصلی مکانیزم های دفاعی سیستم عامل رو خاموش یا حذف میکنند, یکی از روش های اینکار استفاده از COM_Object ها در اسکریپت های Stateless میتونه باشه که در قالب یک فایل فرمت با استفاده از COM_Object مربوطه به اجرا و ماموریت خودش رو انجام میده

در این راستا بعضاء دیده میشه که زبان هایی مانند JavaScript یا CSharp و دیگر زبان های پویا امکان برقراری مثلا با Registry سیستم عامل رو دارا هستند,خب این میتونه گزینه خوبی برای ما باشه چرا که با استفاده از کلیدهایی مانند ms-settings که ماهیت اجرای یک دستور رو برای ما داره استفاده کنیم و یک دستور پاورشلی یا خود batch ست و اجرا بشه,

همانطور که در تصویر پست مشاهده میکنید هکر اول با استفاده از WQL یا Windows Query Language یک کوئری رو اجرا میکنه برای بکارگیری سرویس Win32_Service و به واسطه اون خواندن ورژن خوانده شده ۱۰ باشه پایلود مربوط به سیستم عامل ویندوز ۱۰ در کلید رجیستری ست خواهد شد و اگر عدد ۶ باشه پایلود مربوط به ویندوز های ورژن پایین تر ست خواهد شد.