Blackhat.az

Loading...

Blackhat.az

Register

Cyber Security - Exploitation - Hacking - Pentest - Hacking tools - Social engineering - 17 February 2021

PESpin Fayl Sıkıştırma Tətbiqi Istifadə Edərək Zərərli Proqram Yaratma

Monitorinq zamanı antiviruslardan yan keçmək  hədəf sistemi tutmaq kritik bir addımdır. Bu yazıda PESpin fayl sıxılma alətindən istifadə edərək antiviruslar tərəfindən tutula bilməyən zərərli bir tətbiq yaradacağıq.

Fayl sıxılma tətbiqetmələri həqiqətən yürütülə bilən dosyanı sıxan və faylın funksiyasını dəyişdirməyən, ancaq görünüşünü dəyişdirən bir proqramdır . Normal kompressorlardan (zip, winrar) fərqli olaraq, faylın necə açılacağı və necə şərh ediləcəyi yeni yaradılan paket sənədinə daxil edilmişdir. Buna görə yeni yaradılan fayllara öz-özünə çıxan arxiv deyilir . Sıxılma və antiviruslardan gizlənmə kimi fayl sıxılma tətbiqetmələrinin istifadəsinə əlavə olaraq, istifadənin başqa bir məqsədi mühəndisin tərsinə dönməsini çətinləşdirərək proqramın mənbə kodunu əldə etməyi çətinləşdirməkdir.

Fayl sıxılma tətbiqləri analiz işini çətinləşdirmək üçün aşağıdakı xüsusiyyətlərdən istifadə edə bilər:

  • Sıxılma
  • Şifrələmə
  • Əks mühəndis metodlarını çətinləşdirən metodlar

Bu yazıda, fayl sıxılma tətbiqetmələri olan mimikatz adlı zərərli bir proqram, PESpin adlı bir vasitə ilə yenidən paketlənəcəkdir. Mimikatz alətinin 16 AV tərəfindən VirusTotal analizi nəticəsində aşkar edildiyi görülür.

Mimikatz faylı PESpin aləti ilə seçilir.

Nəticədə bu fayl yenidən paketlənir.

Yeni sənədin qablaşdırma əməliyyatından sonra 1 AV tərəfindən aşkar edildiyi görülür.

Yeni tətbiqetmənin işində heç bir dəyişiklik olmadığı görülür.