Blue Lab 10

محاكاة هجمة باستخدام

الـ Weak Registry Permission

واصطيادها

بسم الله الرحمن الرحيم

مقدمة

اهلا بكم, استكمل هنا سلسلتي التي بدأتها معكم والتي اقوم بها بشرح طريقة عمل لاب دفاعي متكامل وشامل.

يواجه البعض مشكلة ظهور التدوينة ناقصة وهي خارج عن سيطرتي, يمكن حلها بتعطيل إضافة الآد بلوك في المتصفح (لا توجد إعلانات  هنا) أو بتجربة تغيير المتصفح.

مقالة اليوم عبارة عن هجمة تحدث من خلال زرع Backdoor في الـ Windows Services وتكون مصابة بصلاحيات تم اعدادها بشكل خاطئ وتكون مخزنة في الـ Windows Registry بحيث يتم تشغيل البرنامج الخبيث بعد تشغيل الـ Service المصابة والذي يؤدي الى اتصال عكسي وتعتبر من خطوات الـ Privilege Escalation.

في هذة المقالة سوف نستخدم 3 اجهزة وهي:

  1. Kali Linux (The Attacker Machine)

  2. Windows 10 (The Victim Machine)

  3. Splunk (SIEM Solution)

عناصر المقالة:

  1. البدء في التهيئة الخاطئة للصلاحيات

  2. البدء في اعداد الهجمة

  3. ارسال الملف الخبيث الى الضحية والبدء في الهجمة

  4. تصعيد الصلاحيات في جهاز الضحية

  5. اصطياد الهجمة

البدء في التهيئة الخاطئة للصلاحيات

ننشئ Service ونجعل اسمها catchme في مسار:

C:\temp\service.exe

من خلال الامر التالي:

sc.exe create catchme binPath= "C:\temp\service.exe"
Join