x32x01
  • بواسطة x32x01 ||
ما هى الـ Cold Security Techniques ؟
طب انا ليه سميتها Cold Security Techniques ؟!
الـ Evasion Techniques ببساطة هي أساليب خداع الـ Security Layers يعني لو هنتكلم بالبلدي اي Attack سواء كان Malware او Script او Code او اي حاجة Malicious عشان تعدي من ال Security Layers الي الـ Blue Team حاطيطهم ورا بعض بتعمل حاجة من الـ 4 طرق دي :
- يا بتلف من ورا ال Security Layer
- يا بتدخل وسط الـ Data الي داخلة من غير ما حد ياخد باله
- يا بتلبس بدلة مش بدلتها بتدخل علي اساس انها حد تاني
- يا بتقسم نفسها و تدخل علي مراحل
سواء استعملت اي طريقة من دول ف هي كدة عملت Freeze للـ Security Layer خليته متجمد مكانه مش عارف يعمل حاجة رغم انه بيبقي عارف انه Attack لكن مبيعملش حاجة عشان كدة سميتها Cold Security Techniques .

طب دة الكلام البلدي و احنا مش قاعدين في السوق عشان نتكلم كلام بلدي....احنا عايزين نتكلم كلام Technical شوية و نحاول نبسط الموضوع شوية للناس الي متعاملتش مع الـ Evasion Techniques قبل كدة....
الـ Evasion Techniques بتختلف علي حسب الـ Security Layer الي انت عايز تعملها Bypass و تعدي منه و ساعات كمان بتختلف علي حسب الـ Vendor بتاع الـ Security System فيه Evasion Techniques تمشي علي Vendor و متمشيش ع التاني.
الـ Part دة انا حابب اتكلم عن 3 أنواع من ال Evasion Techniques :
ال Evasion Techniques الي علي مستوي الـ Network و الي علي مستوي الـ Web و الي علي مستوي الـ End-Points.

# أول_جزء : علي مستوي ال End-Points :
كل التركيز هنا علي حاجتين :
- ازاي اعمل Bypass او Evasion لل Anti-Virus
- و ازاي اعمل Bypass او Evasion لل Sandbox
قبل ما نبدأ شرح محتاج اجاوب علي سؤال ممكن ييجي لاي حد بيقرأ ال Part دة

هو يعني ايه Sandbox ?!
ال Sandbox بيبقي Appliance بيتحط في ال Network بيكون ما بين ال WAN و ما بين ال Internal Network اي File داخل علي ال Network بتاعتك سواء جاي عن طريق ال Mail او عن طريق ال Web بيعدي علي ال Sandbox الأول قبل ما يدخل علي ال End-Points طب بيحصله ايه علي ال Sandbox ?!
ال Sandbox بيعمل Static/Dynamic Malware Analysis
في ال Static Malware Analysis الـ Sandbox بيعمل Analysis للـ File من غير ما يعمله Execution بيشوف شوية Headers و Attributes و شوية حاجات الي حابب يعرفها يرجع للـ Part بتاع ال Malware Analysis عشان بس منضيعش وقت في ال Part دة....
اما ال Dynamic Malware Analysis ال Sandbox بياخد ال File و يرميه علي Virtual Machine بتكون Pre-configured قبل كدة و يقوم عامل Execution للـ Malware او للـ File و يشوف الـ Behavior بتاعه لو تمام بيعديه للـ End-Point عادي الي كان رايحلها لو مش تمام او لو اكتشف اي Malicious Behavior بيوقفه عنده و مش بيعديه للـ End-Points و بكدة يمنع ال File من انه يدخل ال Environment تماماً.....الموضوع موقفش عند كدة و بس....فيه Security Researchers كتير اكتشفوا ان ال Hackers عندهم Evasion techniques يقدروا يخدعوا بيها ال Sandbox و يخلوه يعدي ال Malware لل End-Points عادي من غير ما يكتشفه.....ايه هي ال Techniques دي بقي ؟!
- اول حاجة و اكتر طريقة استخداماً من ناحية ال Hackers الي هي ال Obfuscation
الـ Obfuscation هي الغرض منها تحويل ال Content بتاع ال Malware لصيغة تكون confusing جداً للي يقراها بحيث ميفهمش ال Content دة بيعمل ايه و ال Structure بتاع ال Malware ماشي ازاي و بيكلم مين و كدة...فيه اكتر من Technique للـ Obfuscation زي الـ ROT13 و الـ Base 64 و الـ Packing و الـ Commercial Obfuscators و الـ Custom Encoding و غيرهم
بس من أشهر الـ Techniques بتاعت ال Obfuscation هي ال XOR Obfuscation سبب شهرتها انها من أسهل الطرق عشان تخفي بيها الـ Data بتاعت ال Malware و كمان سبب كترة استخدامها انها Reversible Function بمعني انه بيتعمل بيها الـ Encoding و الـ Decoding مع بعض بتعتمد علي Key عشان تقدر تـ Create ال Cipher Text الي الـ Data بتاعت ال Content بتاع الـ Malware هتكون مستخبية جواه.
تاني Technique بيستخدمه الـ Hackers عشان يعملوا Bypass للـ Anti-virus او ال Sandbox هو ال Packing Technique و دة بيستخدموه عشان يصعبوا عملية الـ Malware analysis.
الـ Packing دة ببساطة عامل زي الماتريوشكا الروسي الي هي عروسة كبيرة جواها عروسة اصغر جواها عروسة اصغر جواها عروسة اصغر....ال Malware بيتحط في Package و ممكن اعمل Multi-layer Packing بحيث اني اعمل Packing لل Malware و الـ Result الي هتطلع هسميها P1 هقوم واخد P1 دة و اعمله Packing تاني و اطلع P2 و اقوم عاملها Packing و اطلع P3 و هكذا...ف الـ Sandbox او ال Anti-virus لما ييجي يعمل Scan علي ال Malware مش هيشوف ال Malware نفسه هيشوف ال Packing Layer و دة بيبقي سليم مفيش فيه اي حاجة ف بيعديه طبعاً فيه Techniques كتير عشان نكتشف ال Packing بس دة مش موضوعنا دلوقتي دة للناس بتاعت ال Blue Team و ال Incident Handling ملناش دعوة بيهم..
تالت Technique و دة من اكتر الـ Techniques الي بنستخدمها في ال Penetration Testing و كتير من ال Hackers بيستخدموها في ال Cyber attacks بتاعتهم حاجة اسمها Process Hollowing.

ايه هي ال Process Hollowing دي بقي ؟!
الـ Process Hollowing دي انهي بـ Inject الـ Payload او الـ Malware جوة Process تانية تكون شغالة و Authorized بالنسبة لل Operating System زي مثلاً في ال Windows ال Process الي اسمها Explorer.exe المسؤولة عن ال GUI بتاع ال OS كلها و لو في ال Linux ال Process مثلاً الي اسمها gnome-shell ف لما ال Anti-virus او ال Sandbox ييجي يعمل Scan علي ال Behavior بتاع ال Malware مش هيلاقيله Process ميعرفش انه شغال جوة Process تانية اصلا مسموح بيها من ال operating system.
رابع Technique بنستخدمه عشان نـ Bypass ال Anti-virus او ال Sandbox هي ال Anti-Debugging Function :
فيه Functions انا اقدر اعملها في ال Malware تخليه يقدر يفهم اذا كان هو بيحصله Execution فعلاً ولا بيحصله Debugging......ال Debugging دة اني بكون فاتح ال Malware في Debugger زي ال IDA او ال ollydbg او ال Windbg و غيرهم من ال Debuggers المعروفة
الي بيحصل في عملية ال Debugging اني بشوف ال instruction Sequence الي بيحصل لما ال Malware بيحصله Execution ممكن الكلام دة يبان ملعبك شوية بس الي عايز يفهم اكتر ممكن يدور علي Google علي معني ال Disassembling و ال Debugging المهم فيه حاجات كتير ممكن تتعمل تخلي ال malware من نفسه يفهم اذا كان هو حقيقي بيتعمله Execution ولا بيتعمله Debugging من ال Malware analyst طب ال Malware لو حس انه بيتعمله Debugging و انا عامل Anti-Debugging Techniques هيعمل ايه ؟!
هيوقف ال Process بتاعته و هيغير ال Behavior بتاعه عشان يخدع ال Malware analyst...
طب ايه هي ال Anti-Debugging Functions الي ممكن اعملها في ال Malware
- اول حاجة براحة نبسط الكلام عشان هو مش مباشر كدة بالنسبة للناس الي معندهاش فكرة عن ال Life of Binaries.....دلوقتي انا عندي حاجة اسمها PEB الي هي Program Environment Block دي موجودة في الـ Windows بس....بتسنخدمها ال Applications عشان تعرف شوية معلومات من ال Operating System زي ال Heap Address و ال Process Startup Arguments و هل ال Application بيحصله Debugging ولا لا....
في ال Anti-Debugging Functions عندي Function اسمها IsDebuggerPresent يعني هل ال Debugger موجود ولا لا طب دي بتشتغل ازاي ؟!
دي بتروح علي ال PEB و بتبص علي ال Structure بتاعه و بتشوف هل ال Field ايل اسمه IsDebugged فيه اي Value غير ال Zero ولا لا لأن لو فيه Zero يبقي ال malware دي حقيقي بيحصله Execution و الديا زي الفل.....لو فيه اي Value تانية غير ال Zero يبقي ال Program او ال malware دي بيحصله Debugging و بكدة يقدر يكتشف ال Malware ال Debugging و يوقف ال Process بتاعته.
تاني Function موجودة في ال Anti-Debugging Functions الي هي
اسمها FindWindow دي بتعمل Call للـ WinAPI و بتتـ check ال Window Name هل هو حاجة معروفة زي Ollydbg او IDA او Windbg يبقي معني كدة ان الي شغال دلوقتي دة Debugger و برضو ال Malware يقوم موقف ال Process بتاعته.
و غيرهم من ال Anti-Debugging Functions الكتير....

# تاني_جزء ال Evasion Techniques علي مستوي ال Network :
انا زي ما قولت ان علي مستوي ال End-Point عندي Security Layers زي ال Sandbox و ال Anti-Malware و غيرهم ف انا علي مستوي ال Network عندي برضو Security Layers زي ال IDS و ال IPS و ال Firewalls و غيرهم
الحاجات دي وظيفتها انها تحمي ال Internal Infrastructure بتاعتي من اي Cyber Attacks ييجي عليها سواء من ال Internal Network او من ال Internet.
طب ايه ال Techniques الي انا ممكن استخدمها عشان اعمل Evasion او Bypassing للـ Security Layers بتاعت ال Network...
و الله في الجزئية دي بالذات انا عندي Techniques كتير بس هنتكلم عن شوية منهم مش كلهم اكيد :
- اول حاجة عندي ال tunneling الي هو اني اخبي Connection في Connection تانية و دي قريبة من فكرة ال Packing و الماتريوشكا الي شرحناها في جزء ال End-Point Evasion اني لو عندي مثلاً Program اسمه X الراجل بيستخدمه عادي و عارف انه الطبيعي انه يفتح channel و يعمل connection عليها يتكلم بيها مع حد تاني زي مثلاً ال Teamviewer ف انا بقوم عامل Tunneling للت Connection بتاعت ال malware او ال Payload بتاعي جوء ال Channel الي مفتوحة للـ connection بتاعت ال Program الي اسمه X ف لما ييجي اي حد يبص ع ال Channel دي هيقولك اه دي بتاعت X سيبها تعدي دة ال User موافق عليها و عارف بيها.
-تاني حاجة عندي ال Handshake Evasion بمعني :
اي حد فاهم network كويس عارف انه اي connection في الدنيا بتشتغل علي concept اسمها Three-way Handshake الي هو ال SYN وال SYN-ACK و ال ACK
ال Firewall بيعمل Block للـ SYN Packet لان معناها كدة انك بتحاول تفتح connection مع حاجة انا رافض ان حد يتكلم معاها اصلا...
ف عشان تجرب تعدي ال Firewall بتبعت ACK Packet ف ال Firewall بيفهم ان دي اكيد Packet تبع Connection شغالة اصلا من جوة و الناس موافقة عليها ف بيعديعها....يعني مثلاً لو انت قولت لواحد ازيك ف ال Firewall هيمنعك لانك المفروض ممنوع انك تكلم الشخص دة اساساً.....لكن لو بداية كلامك انك بتقول الحمد لله كويس انا بخير ف ال Firewall هيفهم ان الشخص الي هو بيحميه هو الي فتح معاك كلام الأول و سالك ازيك ف معني كدة ان المحادثة دي متوافق عليها ف هيقوم معديك و مخليك تتكام معاه.

#تالت حاجة عندي اسمها Fragmentation الي هي التقطيع
ال Firewall لما بييجي يقفش عليك بيقفش علي ال Packet الي انت بتبعتها
ف بتقوم انت مقسم ال Packet دي ل Packets سغيرة جداً و تبتدي تبعتهم واحدة ورا التانية ف ال Firewall مش هيعرف يمسكهم ف هيعديهم ف لما تعدي من ال Firewall تبتدي ال Packets الصغيرة تتجمع لحد ما تتكون ال Packet الكبيرة الأصلية الي انت كنت مقسمها.
-رابع حاجة عندي اسمها Timing Slow
بمعني...ان معظم ال Security Layers منهم ال IDS بيشتغلوا بـ concept ال Time Interval و بـ Threshold معينة....منهم ال Snort IDS الي هو يعتبر من اكبر ال Intrusion Detection Systems في العالم الي هو تابع دلوقتي لشركة Cisco بيطلع Alert لما يلاقي ان فيه حد بيعمل Scan لـ 15 Port او اكتر في الثانية الواحدة....ف احنا بنظبط وقت ال Scan بحيث انه يبقي بطئ شوية عشان ميحققش ال Threshold الي عايزها ال Snort فبالتالي مش هيدي اي Alert او notification لل Administrator او لل Incident Handler و مش هيعرف اصلا ان فيه Attack بيحصل.
فيه Techniques تانية زي ال Decoy و ال Proxies و ال Data Lengthing و غيرهم عشان ال Network Security Bypass & Evasion

# رابع جزء عن ال Web Evasion & Bypass هشرحه بالكامل في ال Part الجاي ان شاء الله عشان مكنتش عامل حسابي ان ال Part دة هيطول كدة لو حد عنده اي استفسار عن اي حاجة من الي انا قولتها او عايز يعرف اكتر هي بتتعمل ازاي ممكن يكلمني في اي وقت اشرحهاله بالتفصيل اكتر لو شرح ال Part مش كفاية انه يوصله الصورة اكيد مفيش بوست هيقدر يوصل كل ال Technical & non-technical Details.
 

المشاركات المتشابهة

x32x01
الردود
0
المشاهدات
8
x32x01
x32x01
x32x01
الردود
0
المشاهدات
14
x32x01
x32x01
x32x01
الردود
0
المشاهدات
31
x32x01
x32x01
x32x01
الردود
0
المشاهدات
49
x32x01
x32x01
x32x01
الردود
0
المشاهدات
42
x32x01
x32x01
الوسوم : الوسوم
cold security

الدخول أو التسجيل السريع

نسيت كلمة مرورك؟

آخر المشاركات

أحدث المنتجات

إحصائيات المنتدى

المواضيع
1,530
المشاركات
1,716
أعضاء أكتب كود
191
أخر عضو
Ahmed123132
عودة
أعلى