FireEye ເປີດໂອເພ່ນຊັອດ ‘SharPersist’ ເຄື່ອງມືເຮັດ Persistence ສຳລັບ Red Team

FireEye ໄດ້​ເປີດ​ Open Source  ​ເຄື່ອງ​ມື​ທີ່​ຊື່ SharPersist ໄວ້​ເທິງ GitHub ຊຶ່ງ​ເປັນ​ເຄື່ອງ​ມື​ທີ່​ອອກ​ແບບ​ມາ​ສຳລັບ Red Team ໃນ​ຂັ້ນ​ຕອນ​ການ​ໂຈມ​ຕີ​ໄລຍະ​ທີ່​ເຮັດ Persistence ເພື່ອ​ຊ່ວຍ​ເຫລືອ​ທົດສອບ​ລະບົບ​ດ້ານ​ຄວາມຫມັ້ນຄົງປອດໄພ​ໃນອົງກອນ

ເລື່ອງ​ລາວ​ກໍ​ຄື​ກ່ອນ​ໜ້າ​ນີ້ PowerShell ໄດ້​ຖືກ​ແຮັກ​ເກີ​ນຳ​ມາ​ໃຊ້​ປະໂຫຍດ​ຢ່າງ​ແພ່​ຫຼາຍ ຈົນກະທັ້ງ​ຜູ້​ໃຫ້​ບໍລິການ​ໂຊ​ລູ​ຊັນ​ຝັ່ງ​ປ້ອງ​ກັນ​ຫລື​ຜູ້​ກ່ຽວ​ຂ້ອງ​ໄດ້​ພັດທະນາ​ເລື່ອງ​ຟີເຈີ​ການ​ປ້ອງ​ກັນ​ທີ່ PowerShell ຫລາຍ​ຂຶ້ນ​ຈົນ​ເຮັດໃຫ້​ແຮັກ​ເກີ​ມີ​ອຸປະສັກ​ຫລາຍກວ່າ​ເດີມ ທັງ​ນີ້​ແຮັກ​ເກ​ີ​ຈຶ່ງ​ຜັນ​ຕົວ​ສູ່ C# ຊຶ່ງ​ໄອ​ເດຍ​ນີ້​ເກີດ​ເພາະ C# ມີ​ການ​ໃຊ້​ເທັກ​ໂນ​ໂລ​ຢີ​ຄ້າຍ PowerShell ແຕ່​ມີ​ການ​ປ້ອງ​ກັນ​ນ້ອຍ​ກວ່າ ເຊັ່ນ .Net runtime ເປັນ​ຕົ້ນ

ທັງ​ນີ້ FireEye ຈຶ່ງ​ໄດ້​ຄິດວ່າ​ບໍ່​ມີ​ເຄື່ອງ​ມື​ໃນ​ຝັ່ງ​ຂອງ C# ໃດ​ເລີຍ​ທີ່​ເຮັດ​ມາ​ເພື່ອ​ການ​ໂຈມ​ຕີ​ແບບ Persistence ຢ່າງ​ແທ້​ຈິງ ດ້ວຍ​ເຫດ​ນີ້​ຈຶ່ງ​ໄດ້​ພັດທະນາ​ເຄື່ອງ​ມື​ທີ່​ຊື່​ວ່າ ‘SharePersist’ ອອກ​ມາ. ຢ່າງໃດ​ກໍ​ດີ​ຄຸນສົມບັດ​ຂອງ​ເຄື່ອງ​ມື​ຄື​ພັດທະນາ​ຂຶ້ນ​ຈາກ C# ແລະ ​ສາມາດ​ໃຊ້​ກັບ Framework ໃດ​ໆ ທີ່​ຮອງ​ຮັບ Reflective loading ດ້ວຍ .NET assemblies ໄດ້ ຊຶ່ງ​ທາງ FireEye ໄດ້​ໃຫ້​ຕົວ​ຢ່າງ​ໄວ້​ດ້ວຍ​ການ​ໃຊ້​ຟັງ​ຊັນ Execute-assembly ຂອງ Cobalt Strike ນັ້ນ​ເອງ

ປັດຈຸບັນ SharPersist ໄດ້​ຮອງ​ຮັບ​ກັບ​ເທັກ​ນິກ​ດ້ານ Persistence ເຊັ່ນ KeePass, Tortoise SVN, Startup Folder, Registry, New Windows Service, New Scheduled Task ເປັນ​ຕົ້ນ 

ແຫຼ່ງຂໍ້ມູນ : securityweek, fireeye, techtalkthai