Defense Evasion Powershell Crypter

در روش های سنتی سالهای دور همواره استفاده از تکنیک رمزنگاری شلکد اصلی و بازگردانی آن در حافظه به واسطه تعریف یک stub محبوب ترین روشی بود که برای دور زدن آنتی ویروس ها استفاده میشد

اما امروزه دیگر آن روشها بر بستر فایل فرمت PE و با تکنیک های PE Injection دیگه نمیتونه روش خوبی برای دور زدن مکانیزم های شناسایی کننده باشه, اما این روش در مواجه با روش های Stageless امکان بکارگیری مجدد داره, و همین موضوع میتونه روشی مؤثر برای Evasion کردن اسکریپت های محبوبی مثل mimikatz باشه

https://github.com/the-xentropy/xencrypt

اگر به کد پاورشلی تصویر مربوط به تعریف رمزنگاری CBC نگاه بکنید میبینید که باز هم اسکریپت ورودی هکر بعد از یک دور فشرده شدن با Gzip میره برای رمز شدن به واسطه تعریف یک Cipher key بر مبنای یک IV Padding و معماری رمزنگاری CBC یا ECB

در تصویر دوم هم تعریف یک stub در اسکریپت خروجی رو مشاهده میکنید که به محض بارگذاری کد بر روی حافظه عملیات بازگردانی رمزنگاری رو انجام داده و اسکریپت مد نظر رو به اجرا در بیاره, آیا هنوز به سنت های گذشته ایمان نمی آورید؟

https://github.com/the-xentropy/xencrypt

Categories: