GitHub – rasta-mouse/TikiTorch: Process Injection

https://github.com/rasta-mouse/TikiTorch

#TokiTorch #Process_Injection
یکی از روش های مخفی ماندن و ارتقاء سطح دسترسی در یک سیستم عامل ویندوزی, استفاده از روش های متعدد تزریق یک پیلود در یک Process هدف هستش,

از این روی ابزاری با نام TikiTorch رو معرفی میکنم که Script مختص به Cobalt-Strike هم براش طراحی شده, و همونطور که در تصویر پست مشاهده میکنید عملکرد دو مورد از ماژول های tikiexec و tikilateral هستش که یکی تزریق یک پیلود به Process مربوط به Notepad رو به واسطه PSExec انجام داده و دیگری تزریق پیلود با استفاده از تابع processcallcreate مرتبط با wmi و کامپایل اون به دست msbuild تزریق شده به Process مربوط به Notepad,

پیاده سازی تکنیک های Process Hollowing به این دو مثال ختم نمیشه و ماژول های دیگری در خصوص Service ها و Loader ها و پیاده سازی تزریق بر بستر فایل فرمت CPL هم تعریف شده است…

https://github.com/rasta-mouse/TikiTorch
@Unk9vvN

Categories: