Перейти к содержимому


rek
Фотография

Silent Trinity: изучаем новую версию фреймворка постэксплуатации

фреймворк уязвимость взлом хакер взломщик хакинг программа инструмент утилита перехват нагрузка

В этой теме нет ответов

#1 xenotropic

xenotropic
  • Эксперт.
  • Пользователи
  • PipPipPipPipPip
  • 307 сообщений

Отправлено 23 Сентябрь 2019 - 02:36

Ежедневно хакерские инструменты обновляются и пополняются, поэтому будет преступление, не рассказать о инструменте Silent Trinity.

 

Что это и зачем необходимо

Профессионалы из PT ESC прибавляют знаний в продукцию компании, обучают обнаружению tactics, techniques и procedures атак. Значит очень важно будет рассказать о весьма многофункциональном инструменте – Silent Trinity. Более того, эти же эксперты уже выявлены случаи применения данного инструментария.

Framework post exploitation данного инструмента обновился до версии 0.3.0. Главные особенности обновления - это его архитектура и онлайн режим. Взломщикам нравится framework, из-за использования DLR-имплантов

g2-BZcGJr5w.jpg

Огромная гибкость и анонимность получает инструмент от DLR-имплантов, если сравнивать с C Sharp. В данный момент общение с пользователем осуществляется через 4 различные транспортировки – HTTP, HTTPS, DNS, WMI

 

Принцип работы нового Silent Trinity

Silent Trinity был многократно исследован, для получения способов его обнаружения, вывод не утешительный. Как минимум инструментарий обнаруживается как на хосте, так и во время сетевой взаимосвязи. Взглянем на второй способ обнаружения. Стандартный при этом метод транспортировки – HTTPS. Запускаясь первый раз, создается поддельный сертификат, который помогает взаимодействовать с системой. Данный сертификат всегда одинаков.

DPTk_9euADo.jpg

Необычность сертификата также является срок его действия в 9999 дней.

JEtqDN1FJzg.jpg

DLR-имплант способен стартануть с помощью powershell, msbuild и даже wmic. Появляется файл, запускающийся благодаря одной из программ. Неважно какой способ запуска мы выберем, внутри файла всегда будет присутствовать объект формы Base64. Он помогает доставлять запросы, для создания полезной нагрузки, чтобы была возможность транспортировки. Пользователь получает ее и делает необходимые манипуляции. Данный метод при использовании DLR-имплантов довольно сложно выявить, но есть варианты вычисления трассировки событий с помощью event tracing for windows.

Это помогает нам увидеть использование языка Boo, именно на нем написаны все импланты программы и ее модули. Это питон-подобный язык, но встречается крайне редко.

Как мы видим, новая версия инструмента дает нам немало преимуществ и уникальных функций.

 



rek




Темы с аналогичным тегами фреймворк, уязвимость, взлом, хакер, взломщик, хакинг, программа, инструмент, утилита, перехват, нагрузка


reklama reklama

Рейтинг@Mail.ru Analysis informer pr cy
Рейтинг@Mail.ru
Добавить Vkontakte Добавить в Facebook Добавить в Twitter Добавить в LiveJournal