- Регистрация
- 8 Янв 2019
- Сообщения
- 527
- Реакции
- 71
- Баллы
- 118
[SIZE=14pt]Ежедневно хакерские инструменты обновляются и пополняются, поэтому будет преступление, не рассказать о инструменте [/SIZE][SIZE=14pt]Silent[/SIZE] [SIZE=14pt]Trinity[/SIZE][SIZE=14pt].[/SIZE]
[SIZE=20pt]Что это и зачем необходимо[/SIZE]
[SIZE=14pt]Профессионалы из [/SIZE][SIZE=14pt]PT[/SIZE] [SIZE=14pt]ESC[/SIZE] [SIZE=14pt]прибавляют знаний в продукцию компании, обучают обнаружению [/SIZE][SIZE=14pt]tactics[/SIZE][SIZE=14pt], [/SIZE][SIZE=14pt]techniques[/SIZE] [SIZE=14pt]и [/SIZE][SIZE=14pt]procedures[/SIZE] [SIZE=14pt]атак. Значит очень важно будет рассказать о весьма многофункциональном инструменте – [/SIZE][SIZE=14pt]Silent[/SIZE] [SIZE=14pt]Trinity[/SIZE][SIZE=14pt]. Более того, эти же эксперты уже выявлены случаи применения данного инструментария.[/SIZE]
[SIZE=14pt]Framework[/SIZE] [SIZE=14pt]post[/SIZE] [SIZE=14pt]exploitation[/SIZE] [SIZE=14pt]данного инструмента обновился до версии 0.3.0. Главные особенности обновления - это его архитектура и онлайн режим. Взломщикам нравится [/SIZE][SIZE=14pt]framework[/SIZE][SIZE=14pt], из-за использования [/SIZE][SIZE=14pt]DLR[/SIZE][SIZE=14pt]-имплантов.[/SIZE]
[SIZE=14pt]Огромная гибкость и анонимность получает инструмент от [/SIZE][SIZE=14pt]DLR[/SIZE][SIZE=14pt]-имплантов, если сравнивать с [/SIZE][SIZE=14pt]C[/SIZE] [SIZE=14pt]Sharp[/SIZE][SIZE=14pt]. В данный момент общение с пользователем осуществляется через 4 различные транспортировки – [/SIZE][SIZE=14pt]HTTP[/SIZE][SIZE=14pt], [/SIZE][SIZE=14pt]HTTPS[/SIZE][SIZE=14pt], [/SIZE][SIZE=14pt]DNS[/SIZE][SIZE=14pt], [/SIZE][SIZE=14pt]WMI[/SIZE]
[SIZE=20pt]Принцип[/SIZE] [SIZE=20pt]работы[/SIZE] [SIZE=20pt]нового[/SIZE][SIZE=20pt] Silent Trinity[/SIZE]
[SIZE=14pt]Silent[/SIZE] [SIZE=14pt]Trinity[/SIZE] [SIZE=14pt]был многократно исследован, для получения способов его обнаружения, вывод не утешительный. Как минимум инструментарий обнаруживается как на хосте, так и во время сетевой взаимосвязи. Взглянем на второй способ обнаружения. Стандартный при этом метод транспортировки – [/SIZE][SIZE=14pt]HTTPS[/SIZE][SIZE=14pt]. Запускаясь первый раз, создается поддельный сертификат, который помогает взаимодействовать с системой. Данный сертификат всегда одинаков.[/SIZE]
[SIZE=14pt]Необычность сертификата также является срок его действия в 9999 дней.[/SIZE]
[SIZE=14pt]DLR[/SIZE][SIZE=14pt]-имплант способен стартануть с помощью [/SIZE][SIZE=14pt]powershell[/SIZE][SIZE=14pt], [/SIZE][SIZE=14pt]msbuild[/SIZE] [SIZE=14pt]и даже [/SIZE][SIZE=14pt]wmic[/SIZE][SIZE=14pt]. Появляется файл, запускающийся благодаря одной из программ. Неважно какой способ запуска мы выберем, внутри файла всегда будет присутствовать объект формы [/SIZE][SIZE=14pt]Base[/SIZE][SIZE=14pt]64. Он помогает доставлять запросы, для создания полезной нагрузки, чтобы была возможность транспортировки. Пользователь получает ее и делает необходимые манипуляции. Данный метод при использовании [/SIZE][SIZE=14pt]DLR[/SIZE][SIZE=14pt]-имплантов довольно сложно выявить, но есть варианты вычисления трассировки событий с помощью [/SIZE][SIZE=14pt]event[/SIZE] [SIZE=14pt]tracing[/SIZE] [SIZE=14pt]for[/SIZE] [SIZE=14pt]windows[/SIZE][SIZE=14pt].[/SIZE]
[SIZE=14pt]Это помогает нам увидеть использование языка [/SIZE][SIZE=14pt]Boo[/SIZE][SIZE=14pt], именно на нем написаны все импланты программы и ее модули. Это питон-подобный язык, но встречается крайне редко.[/SIZE]
[SIZE=14pt]Как мы видим, новая версия инструмента дает нам немало преимуществ и уникальных функций.[/SIZE]
[SIZE=20pt]Что это и зачем необходимо[/SIZE]
[SIZE=14pt]Профессионалы из [/SIZE][SIZE=14pt]PT[/SIZE] [SIZE=14pt]ESC[/SIZE] [SIZE=14pt]прибавляют знаний в продукцию компании, обучают обнаружению [/SIZE][SIZE=14pt]tactics[/SIZE][SIZE=14pt], [/SIZE][SIZE=14pt]techniques[/SIZE] [SIZE=14pt]и [/SIZE][SIZE=14pt]procedures[/SIZE] [SIZE=14pt]атак. Значит очень важно будет рассказать о весьма многофункциональном инструменте – [/SIZE][SIZE=14pt]Silent[/SIZE] [SIZE=14pt]Trinity[/SIZE][SIZE=14pt]. Более того, эти же эксперты уже выявлены случаи применения данного инструментария.[/SIZE]
[SIZE=14pt]Framework[/SIZE] [SIZE=14pt]post[/SIZE] [SIZE=14pt]exploitation[/SIZE] [SIZE=14pt]данного инструмента обновился до версии 0.3.0. Главные особенности обновления - это его архитектура и онлайн режим. Взломщикам нравится [/SIZE][SIZE=14pt]framework[/SIZE][SIZE=14pt], из-за использования [/SIZE][SIZE=14pt]DLR[/SIZE][SIZE=14pt]-имплантов.[/SIZE]
[SIZE=14pt]Огромная гибкость и анонимность получает инструмент от [/SIZE][SIZE=14pt]DLR[/SIZE][SIZE=14pt]-имплантов, если сравнивать с [/SIZE][SIZE=14pt]C[/SIZE] [SIZE=14pt]Sharp[/SIZE][SIZE=14pt]. В данный момент общение с пользователем осуществляется через 4 различные транспортировки – [/SIZE][SIZE=14pt]HTTP[/SIZE][SIZE=14pt], [/SIZE][SIZE=14pt]HTTPS[/SIZE][SIZE=14pt], [/SIZE][SIZE=14pt]DNS[/SIZE][SIZE=14pt], [/SIZE][SIZE=14pt]WMI[/SIZE]
[SIZE=20pt]Принцип[/SIZE] [SIZE=20pt]работы[/SIZE] [SIZE=20pt]нового[/SIZE][SIZE=20pt] Silent Trinity[/SIZE]
[SIZE=14pt]Silent[/SIZE] [SIZE=14pt]Trinity[/SIZE] [SIZE=14pt]был многократно исследован, для получения способов его обнаружения, вывод не утешительный. Как минимум инструментарий обнаруживается как на хосте, так и во время сетевой взаимосвязи. Взглянем на второй способ обнаружения. Стандартный при этом метод транспортировки – [/SIZE][SIZE=14pt]HTTPS[/SIZE][SIZE=14pt]. Запускаясь первый раз, создается поддельный сертификат, который помогает взаимодействовать с системой. Данный сертификат всегда одинаков.[/SIZE]
[SIZE=14pt]Необычность сертификата также является срок его действия в 9999 дней.[/SIZE]
[SIZE=14pt]DLR[/SIZE][SIZE=14pt]-имплант способен стартануть с помощью [/SIZE][SIZE=14pt]powershell[/SIZE][SIZE=14pt], [/SIZE][SIZE=14pt]msbuild[/SIZE] [SIZE=14pt]и даже [/SIZE][SIZE=14pt]wmic[/SIZE][SIZE=14pt]. Появляется файл, запускающийся благодаря одной из программ. Неважно какой способ запуска мы выберем, внутри файла всегда будет присутствовать объект формы [/SIZE][SIZE=14pt]Base[/SIZE][SIZE=14pt]64. Он помогает доставлять запросы, для создания полезной нагрузки, чтобы была возможность транспортировки. Пользователь получает ее и делает необходимые манипуляции. Данный метод при использовании [/SIZE][SIZE=14pt]DLR[/SIZE][SIZE=14pt]-имплантов довольно сложно выявить, но есть варианты вычисления трассировки событий с помощью [/SIZE][SIZE=14pt]event[/SIZE] [SIZE=14pt]tracing[/SIZE] [SIZE=14pt]for[/SIZE] [SIZE=14pt]windows[/SIZE][SIZE=14pt].[/SIZE]
[SIZE=14pt]Это помогает нам увидеть использование языка [/SIZE][SIZE=14pt]Boo[/SIZE][SIZE=14pt], именно на нем написаны все импланты программы и ее модули. Это питон-подобный язык, но встречается крайне редко.[/SIZE]
[SIZE=14pt]Как мы видим, новая версия инструмента дает нам немало преимуществ и уникальных функций.[/SIZE]