(WAF) ve antivirüsler çoğu zaman “ikili (binary) kod”, garip hex dizileri (\x90\x90\xeb\x04) ya da belleğe sızmaya çalışan imzaları arar.
Kod sadece klavyeden yazılabilen harf ve rakamlara (ASCII) dönüştürülürse?
O zaman sistem bunu çoğu kez bir saldırı gibi değil,karmaşık bir parola ya da sıradan bir kullanıcı girdisi gibi algılar.
“Keyboard-Only Shellcode” dediğimiz şey budur
Alfanümerik (harf-rakam) kodlama
Normalde işlemci komutları okunamaz karakterler barındırır.
Hackerimiz ise özel kodlayıcılar (encoder) kullanarak bu komutları yalnızca 0-9, a-z, A-Z gibi karakterlere çevirir.
Dışarıdan bakınca şu tarz “parola gibi” görünen bir şey çıkar:
Görünüm: TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ
Bellekte kendi kendini açarak (decoding) o kodu cmd.exe komutunda çalıştırır.
(Rubber Ducky Mantığı)
Bu ağ üzerinden gelmek zorunda değildir.
Bir USB cihazı veya uzaktan erişim sağlayan bir script,bilgisayara kendini "klavye" olarak tanıtır.
Bir insanın 1 saatte yazacağı bu karmaşık "password görünümlü kodu" milisaniyeler içinde giriş alanına yazar ve belleğe enjekte eder.
Bypass Yöntemi
Çoğu IDS ("ASCII" karakter trafiğini temiz kabul eder.)
Çünkü bu trafik, günlük hayatta chatleşirken veya form doldururken kullandığımız trafiğin aynısıdır.
Bu sayede payload, güvenlik filtrelerinin içinden elini kolunu sallayarak geçer.
Çoğu IDS ("ASCII" karakter trafiğini temiz kabul eder.)
Çünkü bu trafik, günlük hayatta chatleşirken veya form doldururken kullandığımız trafiğin aynısıdır.
Bu sayede payload, güvenlik filtrelerinin içinden elini kolunu sallayarak geçer.
