GhostStrike, etik hackleme ve Red Team operasyonları için tasarlanmış açık kaynaklı, gelişmiş bir siber güvenlik aracıdır. Windows sistemlerinde tespit edilmekten gizlice kaçınmak için süreç boşaltma da dahil olmak üzere en son teknikleri içerir ve bu da onu sızma testleri ve güvenlik değerlendirmeleri için bir varlık haline getirir.
“Bu aracı, saldırılarda kullanılan en yaygın kullanılan süreç enjeksiyon tekniklerinden birini, özellikle de süreç boşluğunu kopyalamak için geliştirmeye karar verdim. Amacım, Sliver C2 tarafından üretilen implantların, sistem savunma mekanizmaları tarafından tespit edilmeden komuta ve kontrol (C2) sunucusuyla bağlantı kurmak için nasıl gizlenebileceğini göstermekti. Doğal olarak bir noktada davranış tespit edilebilir hale gelecektir. Ancak bir saldırganın, özellikle veri sızdırma söz konusu olduğunda, geri dönüşü olmayan ve telafisi mümkün olmayan hasara yol açmak için bir şirkete erişim sağlaması gerekiyor.” GhostStrike’ın yaratıcısı Stiven Mayorga, Help Net Security’ye söyledi.
GhostStrike’ın özellikleri
- Dinamik API çözünürlüğü: Windows API’lerini dinamik olarak çözümlemek için özel karma tabanlı bir yöntem kullanarak imza tabanlı güvenlik araçları tarafından tespit edilmesini önler.
- Base64 kodlama/kod çözme: Bellekteki varlığını gizlemek için kabuk kodunu kodlar ve kodunu çözer, böylece statik analiz araçlarının algılamasını zorlaştırır.
- Kriptografik anahtar üretimi: Kabuk kodunu şifrelemek ve şifresini çözmek için Windows Şifreleme API’lerini kullanarak güvenli şifreleme anahtarları oluşturarak ekstra bir koruma katmanı ekler.
- XOR şifreleme/şifre çözme: Enjeksiyon işlemi sırasında kabuk kodunu korumak için basit ama etkili XOR tabanlı şifreleme.
- Kontrol akışı düzleştirme: Yürütme yolunu gizlemek için kontrol akışı düzleştirme uygulayarak hem statik hem de dinamik analiz araçlarıyla analizi karmaşık hale getirir.
- İşlem boşluğu: Şifrelenmiş kabuk kodunu meşru bir Windows işlemine enjekte ederek şüphe uyandırmadan gizlice yürütülmesine olanak tanır.
“GhostStrike, kötü amaçlı Sliver kodunun çeşitli Windows işlemlerine enjekte edilmesini sağlıyor. Bu gösterimde enjeksiyon explorer.exe içinde gerçekleştirildi çünkü bu, Windows’un işletim sisteminin grafiksel kullanıcı arayüzünü sunmasını desteklediği için kullanıcıya meşru görünen bir işlemdir. Ancak bazı kod değişiklikleriyle diğer işlemlere de enjekte edilebilir. Ayrıca bu programın yürütülmesi için yönetici ayrıcalıkları gerekmiyor.” diye ekledi Mayorga.
Gelecek planları ve indirme
Mayorga, “Gelecekte, Cobalt Strike, Havoc, Covenant ve Empire gibi yaygın olarak kullanılan diğer komuta ve kontrol çerçevelerini içeren gösteriler geliştirmeyi planlıyorum” dedi.
GhostStrike GitHub’da ücretsiz olarak mevcuttur.
Okumalısınız: