Baliskit’teki araştırmacılar, .NET montajlarını gizlemek ve silahlandırmak ve modern güvenlik çözümlerine karşı gizliliklerini önemli ölçüde artıran MacRopack Pro araçlarında sofistike bir senaryo sundular.
.NET, Rubeus, emniyet kemeri, Sharpdpapi gibi önde gelen hücum araçlarını hazırlamak ve son yıllarda onaylamak için tercih edilen bir dil haline geldiğinden, yaygın kullanımı da savunma mekanizmalarının dikkatini çekmiştir.
.NET ikili dosyalarındaki Ara Dil (IL), Serbest Bırakma Modunda bile çoğu kaynak kodu sembolünü korur ve güvenlik ürünlerinin algılama imzaları geliştirmesini kolaylaştırır.
.png
)
Bu zorluğu ele alan Baliskit’in en son inovasyonu, bu montajları gizlemek için sağlam bir çerçeve sunarak kötü niyetli işlevlerini korurken onları daha az tespit edilebilir hale getiriyor.
Tespitten kaçınmak için yenilikçi teknikler
MacRopack Pro Tool, özel bir .NET Obfuscator’u silahı_dotnet şablonuyla entegre eder ve montajları daha gizli sürümlere dönüştürmek için birden fazla gizleme seçeneği sağlar.
Bir anahtar özellik, obfuscate-dotnet-dinvoke-mutation Seçenek, ClearTet Metin Kütüphanesi ve İşlev Adları ile yerel işlevleri çağırmak için kullanılan statik Pinvoke ithalatını dinamik Dinvoke ithalatına dönüştürür.
Baliskit raporlarına göre, bu değişim çalışma zamanında ithal işlevleri gizleyerek güvenlik araçları tarafından statik analize kötü niyetli niyetin görünürlüğünü azaltır, ancak delege kullanımı yoluyla potansiyel algılama riskleri getirir.
Başka bir kritik seçenek, obfuscate-dotnet-reflection-handling.NET’in yansıma yeteneklerini, gizlenmiş sembollerin, montaj boyutunda ve yürütme süresinde hafif bir artış olsa da işlevsellik kırılmalarını önlemek için çalışma süresi boyunca orijinal değerlerine geri eşlenmesini sağlar.
Ayrıca, seçenekler obfuscate-dotnet-embed Disk yazmalarını önlemek için gizlenmiş düzeneği bir .NET yükleyicisine yerleştirirken obfuscate-dotnet-inflate Entropi daha büyük bir dosya boyutu pahasına azaltarak statik analizden daha da kaçınır.
Dağıtım stratejileri
MacRopack Pro, şaşkınlığın ötesinde, kırmızı takım operasyonları için tasarlanmış çeşitli formatlar aracılığıyla dağıtım sağlayarak silahlanmayı kolaylaştırır.
Montajlar, hedef sistemlerde doğrudan yürütme için bağımsız yürütülebilir ürünler olarak paketlenebilir veya Visual Basic betiği (VBS), JavaScript, HTA belgeleri veya toplu komut dosyaları gibi komut dosyalarına yerleştirilebilir, komut satırı bağımsız değişkenli işlevselliği koruyabilir.
Sıkı güvenliğe sahip ortamlar için araç, VBA makroları aracılığıyla ofis belgelerine entegrasyonu destekler ve gibi ortam değişkenlerini kullanarak CONSOLE_ARGUMENTS Ve CONSOLE_OUTPUT Ofis uygulamaları konsol arayüzlerinden ayrıldığından beri giriş ve çıkışı işlemek için.
Orijinal montajın hedef çerçevesi daha geniş uyumluluğu belirlese de, uyumluluk 3.5’e kadar.
Baliskit tarafından yapılan kapsamlı testler, birçok güvenlik çözümünü atlarken Krbrelay, Rubeus, Mythic Apollo implantı, emniyet kemeri, Sharpdpapi ve Sharfound gibi gizlenmiş montajlarla bu tekniklerin etkinliğini doğrular.
Bu gelişme, saldırgan takımlarda önemli bir ilerlemenin altını çiziyor ve savunucuları giderek daha sofistike kaçak kaçak taktiklerine uyum sağlamaya zorluyor.
.NET kötü niyetli araçların temel taşı olarak kaldığı için, MacRopack Pro’daki yenilikler, dijital manzaradaki hem saldırı hem de savunma stratejilerinin sınırlarını zorlayarak siber güvenlikte devam eden kedi ve fare oyununu vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin