آکادمی روزبه

برای اجرا شدن برنامه ها و Exe ها بایستی قابلیت های مورد لزوم برنامه، از نحوه تعامل با سیستم عامل تا مدیریت حافظه رادر آن نهاد . با ابداع DLL  ها یعنی کتابخانه های آماده ، برنامه نویسان و حتی خود ویندوز لازم نیست همه چیز را از نو بنویسند لذا برای  برخی موارد مثلا پرینت، DLL مربوطه را صدا منیزنند یا یک کپی از آن رادر فولدر خود نگهدای میکنند .
مکانیسم کنترل اصالت DLL ها و مدیریت تخصیص آنها در ویندوز دارای اشکال اساسی در معماری ویندوز است که در مانیفست ویندوز آمده است لذا امکان خوراندن یک DLL  اشتباه و بدخواهانه به نرم افزا وجود دارد .
البته ادعای ویندوز برآن است که با عمل امضای دیجیتال سعی در مدیریت این موضوع داشته است اما در عمل حتی در سال گذشته ، دور خوردن MSTDC  با  روش تزریق DLL را شاهد بودیم
در این حمله هکر یک DLL مورد استفاده برنامه را دستکاری کرده تا عمل مدنظر هکر را انجام دهد و منتظر میماند تا برنامه اصلی اجرا شده و DLL را صدا بزند
 
ما برای تست این موضوع یک اسکربپت پاورشل را بریتان ارایه میدهیم امیدواریم تست کنید و نتیجه بگیرید.
 https://www.powershellgallery.com/packages/PowerSploit/3.0.0.0/Content/CodeExecution%5CInvoke-DllInjection.ps1

خیلی از افرادی که تو حوزه امنیت کار می کنن از قدرت بالای لاگ های windows غافل می شوند. دوستانی داشتم که با وجود اینکه توی SOC کار می کردن ولی نمی تونستن توی لاگ های ویندوز دنبال یک anomaly بگردن.

فرض کنید یک سازمان اصلا SOC ندارد، خب اون موقع علاوه بر اینکه یه زمانی باید بذاریم لاگ رو جمع آوری کنیم حتی بعضا مجبور می شویم زمانی را برای نوشتن regex و پارسینگ اختصاص بدیم.

با ابزار APT-Hunter می تونیم رفتار های مشکوک رو پیگیری کنیم تا هر چه زود تر مچ گروه های APT رو بگیریم. حدود 60 usecase در خود دارد و به راحتی می توان usecase ویژه یک سازمان را طراحی و توسعه داد. channel های Sysmon , Security , System , Powershell , Powershell_Operational , ScheduledTask , WinRM , TerminalServices , Windows_Defender را پشتیبانی می کند.

برای نوشتن usecase حتما regex را به خوبی یاد بگیرید.

لینک ابزار APT-Hunter

https://github.com/ahmedkhlief/APT-Hunter

ورودی ابزار فایل CVS یا EVTX ( خروجی Event Viewer ) می باشد.