Blue Lab 11

اهلا بكم, استكمل هنا سلسلتي التي بدأتها معكم والتي اقوم بها بشرح طريقة عمل لاب دفاعي متكامل وشامل.

مقالة اليوم عبارة عن هجمة تحدث من خلال زرع Backdoor في الـ CLSID التي تكون مخزنة داخل الــ Windows Registry بحيث يتم تشغيل البرنامج الخبيث بعد تشغيل البرنامج المصاب بأي طريقة كانت بحيث يشتغل بشكل طبيعي والذي يؤدي الى اتصال عكسي وتعتبر من خطوات الـ Persistence.

في هذة المقالة سوف نستخدم 3 اجهزة وهي:

عناصر المقالة:

1. شرح عن الـ COM Object

2. البدء في اعداد الهجمة وارسال الملف الخبيث

3. البدء في الهجمة

4. اصطياد الهجمة

5. اداة COMShield

في البداية يجب علينا فهم الـ HKEY_CURRENT_USER (HKCU) و HKEY_LOCAL_MACHINE (HKLM).

هم عبارة عن Registry Key تحتوي على مجموعة من الـ Keys, Subkeys and Values وتحتوي على Backup للبيانات الخاصة بالنظام وتعتبر من اهم الاشياء اللي لازم نحللها.

طيب ايش الفرق بينهم؟ طبعا فيه فروقات كثيره بس ابرز فرق بينهم واللي بنركز فيه في هذه المقالة هو….

بعطيكم مثال بسيط:

يوم تحميل الـ Word بيتم تحميله من User: Sulaiman, طبيعي جدا يوم ادخل بـ User: Ahmed يكون موجود برنامج الـ Word.

فلنفترض ان الـ Font Size في الـ Word الـ Default 10 فهذا سيتم تطبيقه في جميع الـ Users.

مثلا Sulaiman مو عاجبه الـ Default ويبغا يغير الـ Default الى Font Size: 12 ايش يقدر يسوي؟ يقدر يدخل الـ Registry للـ HKCU ويغير الـ Default Font Size:12 ورجع فتح الـ Word لقى ان الـ Font Size تغير الى 12, جا Ahmed يبغا يدخل الـ Word وشاف الـ Font Size باقي 10 طبيعي جدا ليش؟

لأن Sulaiman غير في الـ HKCU فطبيعي جدا ان يتغير عنده بس.

وش اللي ابي اوصله؟ 

يوم يشتغل برنامج اول شيء يشيك في الـ HKCU اذا لقى اللي يبغاه من dll او اي Value يطبقه أول واذا ما لقاه بيطبق اللي موجود بالـ HKLM.

قبل ما نبدأ تطبيق الهجمة في حاجة لازم نعرفها اللي هي CLSID وهذي عبارة عن Unique Identifier يستخدم عند تشغيل برنامج بحيث يكون مخزن فيه الـ Path حق البرنامج او الـ DLLS.

انشاء ملف DLL لإرساله الى الضحية بأي طريقة من طرق المهاجمين.

استخدمت اداة msfvenom لانشاء الـ Payload الذي من خلاله سوف يمكننا الاتصال عكسيا من جهاز الضحية الى جهاز المخترق, كتابة الـ IP Address الخاص بالمخترق ونستخدم dll ومن ثم خزنت الـ Payload.