Перейти к содержимому



Фотография

Silent Trinity изучаем новую версию фреймворка постэксплуатации

framework фреймворк эксплойт хакер хакинг взлом взломщик инструмент http сеть безопасность скрытность сертификат

  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1 roguevad

roguevad

    Эксперт.

  • Пользователи
  • PipPipPipPipPip
  • 387 сообщений

Отправлено 29 Сентябрь 2020 - 01:12

Ежедневно хакерские инструменты обновляются и пополняются, поэтому будет преступление, не рассказать о инструменте Silent Trinity.

 

Что это и зачем необходимо

Профессионалы из PT ESC прибавляют знаний в продукцию компании, обучают обнаружению tactics, techniques и procedures атак. Значит очень важно будет рассказать о весьма многофункциональном инструменте – Silent Trinity. Более того, эти же эксперты уже выявлены случаи применения данного инструментария.

Framework post exploitation данного инструмента обновился до версии 0.3.0. Главные особенности обновления - это его архитектура и онлайн режим. Взломщикам нравится framework, из-за использования DLR-имплантов.

Огромная гибкость и анонимность получает инструмент от DLR-имплантов, если сравнивать с C Sharp. В данный момент общение с пользователем осуществляется через 4 различные транспортировки – HTTP, HTTPS, DNS, WMI

 

Принцип работы нового Silent Trinity

Silent Trinity был многократно исследован, для получения способов его обнаружения, вывод не утешительный. Как минимум инструментарий обнаруживается как на хосте, так и во время сетевой взаимосвязи. Взглянем на второй способ обнаружения. Стандартный при этом метод транспортировки – HTTPS. Запускаясь первый раз, создается поддельный сертификат, который помогает взаимодействовать с системой. Данный сертификат всегда одинаков.

Необычность сертификата также является срок его действия в 9999 дней.

DLR-имплант способен стартануть с помощью powershell, msbuild и даже wmic. Появляется файл, запускающийся благодаря одной из программ. Неважно какой способ запуска мы выберем, внутри файла всегда будет присутствовать объект формы Base64. Он помогает доставлять запросы, для создания полезной нагрузки, чтобы была возможность транспортировки. Пользователь получает ее и делает необходимые манипуляции. Данный метод при использовании DLR-имплантов довольно сложно выявить, но есть варианты вычисления трассировки событий с помощью event tracing for windows.

Это помогает нам увидеть использование языка Boo, именно на нем написаны все импланты программы и ее модули. Это питон-подобный язык, но встречается крайне редко.

Как мы видим, новая версия инструмента дает нам немало преимуществ и уникальных функций.

 





Темы с аналогичным тегами framework, фреймворк, эксплойт, хакер, хакинг, взлом, взломщик, инструмент, http, сеть, безопасность, скрытность, сертификат


Яндекс.Метрика Analysis Счетчик ИКС
Добавить Vkontakte Добавить в Facebook Добавить в Twitter Добавить в LiveJournal