لقد قمنا بتغطية ثنائيات العيش خارج الأرض التي يتم استخدامها بشكل متكرر في ارتباطات الفريق الأحمر. Living Off The Land Binaries هي تطبيقات وقابلة للتنفيذ تأتي مثبتة مسبقًا مع نظام التشغيل. ومن الأمثلة على ذلك bitsadmin.exe في نظام التشغيل Windows وping في Linux. يحتوي مشروع LOLBAS على جميع الثنائيات المصنفة على أنها تعيش خارج الأرض وصناديق GTFO تعادلها في أنظمة تشغيل Linux. كان هذا جزءًا من إرشادات الحل الخاصة بـ جربHackMe الذين يعيشون خارج الأرض.
الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب
يسلط الضوء
العيش خارج الأرض هو مصطلح شائع في مجتمع الفريق الأحمر. الاسم مأخوذ من الحياة الواقعية، العيش عن طريق تناول الطعام المتوفر على الأرض. وبالمثل، يستفيد الخصوم ومنشئو البرامج الضارة من الأدوات والمرافق المدمجة في الكمبيوتر المستهدف.
فيما يلي بعض الفئات التي يشملها العيش خارج الأرض:
- استطلاع
- عمليات الملفات
- تنفيذ التعليمات البرمجية التعسفية
- الحركة الجانبية
- تجاوز المنتج الأمني
مثال آخر هو لولوباس و التي تعني لiving ياوما يليها لو بinaries أاختصار الثاني سcrypts وهدفها هو جمع وتوثيق الأدوات المضمنة والموقعة من Microsoft والمستخدمة كتقنيات Living Off the Land، بما في ذلك الثنائيات والبرامج النصية والمكتبات.
مصادر إضافية
- صناديق GTFOBins - ال لينكس نسخة مشروع LOLBAS
- Astaroth: حصان طروادة المصرفي – تحليل واقعي للبرامج الضارة حيث يتم عرضها باستخدام تقنية Living Off the Land التي تستخدمها البرامج الضارة.
إجابات الغرفة
قم بزيارة الموقع الإلكتروني لمشروع LOLBAS والتحقق من وظائفه. ثم، باستخدام شريط البحث، ابحث عن معرف ATT&CK: T1040. ما هو اسم الثنائي؟
بكتمون.exe
استخدم شريط البحث للعثور على مزيد من المعلومات حول MSbuild.exe. ما هو معرف ATT&CK؟T1127.001
استخدم شريط البحث للعثور على مزيد من المعلومات حول Scriptrunner.exe. ما هي وظيفة الثنائي؟
ينفذ
قم بتشغيل bitsadmin.exe لتنزيل ملف من اختيارك على نظام التشغيل Windows المرفق جهاز افتراضي. بمجرد تنفيذ الأمر بنجاح، سيتم إنشاء ملف إشارة مشفر تلقائيًا على سطح المكتب. ما هو اسم الملف؟
enc_thm_0YmFiOG_file.txt
استخدم أداة certutil.exe لفك تشفير ملف العلامة المشفر منه السؤال #1. من أجل فك تشفير الملف، نستخدم خيار -decode كما يلي:
C:\Users\thm> certutil -فك تشفير ملف Payload.txt Encoded_file
تم{ea4e2b9f362320d098635d4bab8a568e}
قم بتكرار خطوات تقنية No PowerShell لتلقي غلاف عكسي على المنفذ 4444. بمجرد إنشاء الاتصال، سيتم إنشاء علامة تلقائيًا على سطح المكتب. ما هو محتوى ملف العلم؟
تم {23005dc4369a0eef728aa39ff8cc3be2}
تجول الفيديو