#Obfuscation (#RAR with #JPG ext) #RedTeam
یکی از روش هایی که همواره در عملیات های تیم قرمز در سالهای آتی مورد توجه بود تکنیک استفاده از Extension Spoofing بواسطه کاراکتر Letf-to-Right و همچنین استفاده از فایل فرمت SFX که مبتنی بر نرم افزار WinRAR به نوعی عملیات Section Compression رو در فایل فرمت خودش انجام میداد و به روش Stub Decompression مقادیر کمپر شده خودش رو آزاد میکرد، و در کنار این آزاد کردن مواردی رو هم خودش اجرا میکرد مانند: run as administrator یا Extract کردن داده های کمپرس شده در آدرس مشخص شده و همچنین اجرای اون فایل ها...

اما در سال 2018 که تیم تحقیقاتی Unk9vvN دمویی از این تکنیک رو نمایی کرد، همزمان با این رو نمایی یک APT 39 منتسب به ایران هم رخ داد که از همین تکنیک فوق استفاده شده بود، همچنین این تکنیک همونطور که در تصویر دوم مشاهده میشه آن زمان پتانسیل دور زدن EDR و NIDS و AV ها رو داشته و کاملا عملیاتی بوده، البته امروز دیگر این تکنیک لو رفته و کار آمد نیست، برای مشاهده بخشی از این تکنیک میتونید به دمو تولید شده در سال 2019 مراجعه نمایید...

@Unk9vvN