Antivirüs (AV) çözümlerinin ve kötü amaçlı yazılım karşıtı tarama arayüzlerinin (AMSI) giderek daha sofistike hale geldiği bir dönemde, kırmızı ekip operatörleri ve penetrasyon testçileri, kaçınma tespitinde montaj zorluklarıyla karşı karşıya.
Güçlü bir saldırgan güvenlik aracı olan SpecterInsight, gizliliği korurken bu savunmaları atlamak için bir çözüm olarak ortaya çıktı.
En son sürüm olan SpecterInsight 4.2.0, son nokta algılama sistemlerinden etkili bir şekilde kaçmak için gizlemeden yararlanan gelişmiş yük hazırlama tekniklerini sunar.
AMSI Bypass teknikleri ve gizleme stratejileri
SpecterInsight, PowerShell komutlarından başlayıp .NET modüllerinin belleğe yüklenmesiyle sonuçlanan tespit edilemez yükler sunmak için çok aşamalı bir boru hattı kullanır.
Süreç, PowerShell günlüğünü devre dışı bırakmak ve belirli saldırı senaryoları için tasarlanmış AMSI baypas tekniklerini uygulamakla başlar.
Mevcut AMSI bypass yöntemleri arasında, “başlatılan” tekniği, Windows Defender tarafından kullanılan davranışsal imzalara karşı kompakt boyutu ve etkinliği için öne çıkıyor.
Pratik güvenliğe göre, gizleme, yüklerin tespit edilmemesini sağlamada kritik bir rol oynamaktadır.
SpecterInsight, yorumların kaldırılması, üye ifadelerini değiştirme, cmdlet takma adları, değişken adlar ve dize manipülasyonu dahil olmak üzere güçlü bir şaşkınlık tekniği yığını sunar.
Bu yöntemler, işlevselliği korurken kötü amaçlı komut dosyalarını görünüşte iyi huylu koda dönüştürür.
Ayrıca, meşru PowerShell komut dosyaları, kötü niyetli olmayan içerikle sorunsuz bir şekilde kötü niyetli kodları harmanlamak için yüke yastıklıdır.
Yük teslimatı ve yürütme
Yük boru hattı dört aşamaya ayrılmıştır:
- PowerShell Komutu (Aşama 1): Bu, Aşama 2 yükünü yürüterek teslimat sürecini başlatır.
- Powershell Cradle (Aşama 2): Bu aşama günlüğe kaydetmeyi devre dışı bırakır, PowerShell komut dosyaları için AMSI’yi atlar ve algılamadan kaçınma yolundan kaçarken Stage 3 komut dosyasını indirir.
- .NET Modülü Yükleyici Komut Dosyası (Aşama 3): Bu komut dosyası .NET modülleri için AMSI taramasını devre dışı bırakır ve son yükü gibi teknikleri kullanarak belleğe yükler
AmsiScanBufferStringReplace. - .NET yükü (Aşama 4): Nihai amaç, etkileşimli işlemleri ve hedef ortamdaki komut ve kontrol işlevlerini kolaylaştıran bir .NET modülü yüklemektir.
Rapora göre, boru hattı AV veya AMSI savunmalarını tetiklemeden sorunsuz yürütme sağlamak için sertifika doğrulama baypaslarını ve yansıtıcı yükleme mekanizmalarını entegre ediyor.
SpecterInsight’ın yükleri, Windows Defender’ın sezgisel imzalarını başarıyla atlarken, Virustotal gibi platformlarda sıfır tespit gösterdi.
Bununla birlikte, yapay zeka ile çalışan AV çözümlerindeki gelişmeler, yakın gelecekte gizlenmiş senaryolar için yeni zorluklar oluşturmaktadır.
SpecterInsight 4.2.0, taktik AMSI bypass’larını ev sahibi tabanlı savunmalardan etkili bir şekilde kaçınmak için sofistike gizleme teknikleriyle birleştirerek en yeni kırmızı takım takımlarını örneklendirir.
AV teknolojileri geliştikçe, SpecterInsight gibi araçlar, tespit mekanizmalarının önünde kalırken modern ortamlardaki güvenlik açıklarını aydınlatmak isteyen saldırgan güvenlik profesyonelleri için vazgeçilmez kalacaktır.
SpecterInsight’ın yeteneklerinden yararlanmakla ilgilenen operatörler için, sürüm 4.2.0 artık özel bir indirim kodu ile mevcuttur: SPECTER2025, sınırlı bir süre için% 80 indirim sunuyor!
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.