#SilkETW #Forensic and #Incident_Response on #ETW
آیا تا به حال در خصوص پتانسیل Event Tracing Windows برای شناسایی پیلودها یا Post Exploitation ها چیزی شنیده اید؟ ETW یک ردیاب رویدادها در سطح کرنل هستش که تمامی رخداد های یک برنامه رو ثبت و به عنوان Log ذخیره میکنه, این بدین معنیه که ما یک Real-Time Logger در اختیار داریم که میتونه در مبحث رهگیری لحظه ای دسترسی ها و پسا دسترسی ها به کمک یک BlueTeamer بیاد,

اما چطور میشود همچین استفاده ای از ETW داشت؟! تیم FuzzySecurity به سفارش شرکت FireEye یک ابزار در خصوص پالایش بر مبنای ETW طراحی نموده که بصورت عمومی در اختیار کاربران قرار گرفته است, نام این محصول SilkETW هستش, که در سال 2019 در کنفرانس بلکهت آمریکا ازش رو نمایی شد,

از ویژگی های این محصول میتوان به سازگاری اون با Signature های گرفته شده از Yara اشاره کرد که همونطور که در تصویر پست میبینید تونسته با استفاده از Signature مربوط به ابزار Seatbelt که یک PostEXP جامع برای RedTeamer هاست, اون رو شناسایی و بصورت Real-Time رهگیری کنه, برای اطلاعات بیشتر میتونید به این مقاله مراجعه کنید.

Demo 1
Demo 2
@Unk9vvN
Media is too big
VIEW IN TELEGRAM
#Attack on #Windows Defender #ETW #Sessions
همانطور که میدونید بسیاری از EDR ها از Event Tracing for Windows استفاده میکنند برای دریافت رویداد های سیستم عامل و با تحلیل شاخصه های رفتاری یا Indicator of Behavior ، امکان شناسایی و پاسخ به حادثه مهیا خواهد شد.

اما نکته که میتونه جالب توجه باشه اینه که این ویژگی در سطح هسته، آسیب پذیر هم میتونه باشه و اگر مهاجم بتونه اون رو از کار بندازه، عملا دیگه محصولاتی از جمله EDR نخواهند توانست به ماهیت عملکردی خودشون ادامه بدهند، در نظر داشته باشید که EDR ها در طراحی خودشون بسیار از API های ETW در سطح هسته بهره میبرند.

در کنفرانس BlackHat 2021 ارائه ای انجام شد، راجب بدافزار های که امکان خاموش کردن ETW یا پاک کردن نشست اقدام کنند و بی آنکه مکانیزم های دفاعی سطح هسته مثل KPP بتونند رهگیری ای و مقاومت از خودشون نشون بدن.

فرایند های حمله به NT Kernel Logger Session مطرح شده است بطوری که مانیتور کردن یک Process رو کاملا مختل خواهد کرد. حمله دوم متمرکز بر ETW Logger Session خواهد بود که مبتنی بر Windows Defender فعال میشه.

@Unk9vvN
Attacks on #ETW Blind #EDR Sensors
مکانیزم ETW در سیستم عامل ویندوز مامور جمع آوری و ثبت رویداد هاست، در تصویر شماره 0 ویژگی ها و مناطق مورد پوشش ثبت رویدادی اون رو میتونید مشاهده کنید.

از این روی داده های مورد نیاز سامانه های EDR برای تحلیل رفتار و کشف رفتارهای مخرب وابسته به ETW است، در تصویر شماره 1 میتونید مقالاتی که در خصوص شناسایی رفتارهای مخرب بدافزارها مبتنی بر ETW طراحی شده رو مشاهده کنید.

در تصویر شماره 2 مشاهده میکنید که چه حملات APT در TTP حمله خودشون اقدام به از کار انداختن یا نامحسوس کردن حمله خودشون در مقابل ETW کردند.

اما در تصویر 3 و 4 میتونید تکنیک های حمله به ETW در سطح User-Mode و Kernel-Mode رو مشاهده کنید که عموما مبتنی بر Patch کردن داده ها در سطح حافظه و Hook Functions و Call Functions اقدام به Disable کردن سرویس کرده.

در تصویر شماره 4 مدل تهدیدات قابل انجام به ETW، ترسیم شده که مهاجمان چگونه میتونن بواسطه یک Driver مخرب در سطح هسته اقدام به Patching و تغییر در فرایند دریافت Buffer از نشست های ایجاد شده ی ETW داشته باشند.

Reference
@Unk9vvN
#Donut #ETW Bypass #Module_Overloading
ابزار Donut یک ابزار در راستای اجرای فایل های VBScript، JScript، EXE، DLL و dotNET Assembly در حافظه رو امکان پذیر میکنه بی آنکه Stage بر روی حافظه سخت قرار داشته باشه. همچنین امکان فراخوانی یک Stage از یک وبسرور بواسطه درخواست HTTP انجام شده و در Loader جاسازی شود.

اما موضوعی که جذابه اینه که یکی از ویژگی های این ابزار اینه که بواسطه تکنیک Module Overloading که امکان اینرو میده که در یک فایل اجرایی Native PE بشود یک Manual Mapping انجام داد که بواسطه اون میشود فایل Map شده در حافظه رو Overwrite کرد.

گفته شده این تکنیک موجب میشه مکانیزم تشخیص مبتنی بر Process Injection دور زد، چرا که کد اجرایی مهاجم در حافظه در فایل روی دیسک Map نشده است.

این ماژول که با نام Decoy طراحی و بواسطه توابع NtCreateSection و NtMapViewOfSection کار میکنه، یک Legitimate Executable در زمان Map شدن در حافظه ایجاد میکنه، برای Overwrite کردن شلکد مد نظر در Section فایل فرمت PE.

@Unk9vvN