دانش اولیه هک و امنیت, مقالات آموزشی

آموزش بایپس Windows Defender با پاورشل | آموزش کار با ابزار Invoke Obfuscation

پاورشل (powershell) چیi؟ کاربرد پاورشل (powershell) در تست نفوذ دقیقا کچاست؟ چطوری با استفاده از پاورشل (powershell) آنتی ویروس و ویندوز دیفندر سیستم رو بایپس کنیم؟ چگونه Windows Defender را با استفاده از پاورشل دور بزنیم؟ ابزار Invoke Obfuscation چیه و چطور می تونیم ازش استفاده کنیم؟ اول کار اجازه بدید در رابطه با پاورشل یک توضیح کلی بهتون بدم و بعدش بریم ادامه کار 🙂

پاورشل چیست؟

پاورشل ابزاری است که به‌صورت منبع‌ باز و مبتنی‌‌ بر رابط خط فرمان (CLI) طراحی شده است. مدیران فناوری اطلاعات و متخصصان DevOps با استفاده از این ابزار می‌توانند تسک‌ های خود و نیز تنظیمات را با استفاده از کدنویسی به‌ طورخودکار انجام دهند.پاورشل با استفاده از تکنولوژی .Net شرکت مایکروسافت طراحی شده است و هم به‌ صورت Shell منبع‌ باز برای کنترل کامپیوتر با استفاده از رابط خط فرمان مربوط به سیستم‌ عامل و هم به‌ صورت زبان برنامه‌ نویسی استفاده می‌شود؛ به‌همین‌ دلیل، پاورشل را ابزاری دو منظوره معرفی می‌کنند.درباره کاربرد پوسته‌ پاورشل نیز باید بگوییم که از آن برای خودکارسازی فرایند هایی استفاده می‌شود که به تکرار نیاز دارند؛ بنابراین، استفاده از پاورشل هم انجام این نوع کارها را ساده‌تر خواهد کرد و هم احتمال خطا را کاهش خواهد داد. علاوه‌ بر این، با توجه‌ به اینکه هر فرمان دقیقاً بعد از اجرا ذخیره می‌شود، در زمان لازم، می‌توان به‌راحتی آن‌ها را مجدداً بازتولید کرد.

Windows defender ویندوز دقیقا کارش چیه؟ 

ویندوز دیفندر (در ویندوز 10 و 11 با نام Microsoft Defender نیز شناخته می‌شود) یک نرم‌ افزار امنیتی است که توسط مایکروسافت برای محافظت از سیستم شما در برابر بدافزار ها (ویروس‌ها، جاسوس‌ افزارها و…) طراحی شده است. به عبارت ساده، دیفندر مانند یک آنتی‌ ویروس عمل می‌کند و سیستم شما را اسکن می‌کند تا هرگونه تهدید امنیتی را شناسایی و از بین ببرد. 

جزئیات بیشتر:
  • محافظت در برابر بدافزارها:
    دیفندر فایل‌ها و برنامه‌ های سیستم را بررسی می‌کند تا ویروس‌ ها، کرم‌ها، جاسوس‌ افزارها و سایر بدافزار ها را شناسایی کند. 

  • اسکن‌های مختلف:
    دیفندر امکان اسکن سریع (Quick Scan)، اسکن کامل (Full Scan)، اسکن سفارشی (Custom Scan) و اسکن آفلاین (Microsoft Defender Offline Scan) را برای شما فراهم می‌کند. 

  • بروزرسانی خودکار:
    دیفندر به صورت خودکار بروز رسانی می‌شود تا بتواند با تهدیدات جدید مقابله کند. 

  • حفاظت از مرورگر:
    دیفندر می‌تواند در هنگام مرور وب، شما را در برابر سایت‌ های خطرناک و تهدیدات آنلاین محافظت کند. 

  • عملکرد خودکار:
    دیفندر به طور خودکار در حال اسکن و حفاظت از سیستم شما است، بنابراین شما نیازی به فعال کردن دستی آن ندارید.

ابزار Invoke Obfuscation چیست و چه کاربرید دارد؟ 

Invoke-Obfuscation یک ابزار مبهم‌ سازی دستورات و اسکریپت‌ های PowerShell سازگار با PowerShell می باشد.

تاریخچه ابزار از زبان توسعه دهنده ابزار (گیت هاب)

در پاییز ۲۰۱۵ تصمیم گرفتم تحقیق در مورد انعطاف‌ پذیری زبان PowerShell را آغاز کنم و شروع به فهرست‌ بندی روش‌ های مختلف برای انجام تعدادی از تکنیک‌ های رایج که اکثر مهاجمان به‌طور منظم از آن‌ ها استفاده می‌کنند، کردم.
در ابتدا با تمرکز بر روی دستورهای رمزگذاری شده و سینتکس‌های گهواره دانلود از راه دور، متوجه شدم که کاراکتر های escape مختلفی که مانع اجرای دستور نمی‌شوند، در آرگومان‌ های خط فرمان، هم در فرآیند در حال اجرا و هم در آنچه در گزارش‌های رویداد Security EID 4688 و Sysmon EID 1 ثبت می‌شود، وجود دارند. این امر مرا به بررسی سیستماتیک روش‌ های مبهم‌سازی هر نوع “توکن” موجود در هر دستور یا اسکریپت PowerShell سوق داد.
سپس روش‌ های مبهم‌ تری برای انجام مبهم‌ سازی در سطح رشته، تکنیک‌ های مختلف رمزگذاری (مانند ASCII/hex/octal/binary و حتی SecureString) و در نهایت تکنیک‌ های راه‌اندازی PowerShell را برای انتزاع آرگومان‌های خط فرمان از powershell.exe و بازگرداندن آن به فرآیند والد و حتی پدربزرگ بررسی کردم.

هدف

مهاجمان و بدافزار های معمولی شروع به استفاده از تکنیک‌ های مبهم‌سازی بسیار ابتدایی برای پنهان کردن اکثر دستورات از آرگومان‌ های خط فرمان powershell.exe کرده‌اند. من این ابزار را برای کمک به تیم آبی در شبیه‌ سازی دستورات مبهم‌ سازی بر اساس آنچه که در حال حاضر از نظر نحوی در PowerShell 2.0-5.0 امکان‌پذیر می‌دانم، توسعه دادم تا آن ها بتوانند قابلیت‌ های تشخیص این تکنیک‌ ها را آزمایش کنند.
تنها هدف این ابزار، شکستن هرگونه فرضی است که ما به عنوان مدافعان ممکن است در مورد نحوه نمایش دستورات PowerShell در خط فرمان داشته باشیم. امید من این است که این امر تیم آبی را تشویق کند تا علاوه بر به‌روزرسانی گزارش‌گیری PowerShell برای شامل کردن گزارش‌ گیری Module، ScriptBlock و Transcription، به جستجوی شاخص‌ های مبهم‌ سازی در خط فرمان نیز روی آورند، زیرا این منابع اکثر جنبه‌ های تکنیک‌ های مبهم‌ سازی تولید شده توسط این ابزار را ساده می‌کنند.

کاربرد دقیق ابزار

در حالی که تمام لایه‌ های مبهم‌سازی در اسکریپت‌ های جداگانه ساخته شده‌اند، اکثر کاربران تابع Invoke-Obfuscation را ساده‌ترین راه برای کاوش و تجسم تکنیک‌ های مبهم‌ سازی که این چارچوب در حال حاضر پشتیبانی می‌کند، خواهند یافت.

حالا سناریو ما داخل این آموزش به این صورت هستش که ما با استفاده از ابزار Invoke Obfuscation که یک ابزار پاورشلی هستش قطعه کد پاورشلی خودمون رو ایجاد میکنیم و اون رو داخل CMD سیستم تارگت اجرا می کنیم و اینجا دو تا اتفاق می افته یکیش اینکه که ما دسترسی ریموت و از راه دور می گیریم و دومیش باعث میشه که Windows Defender اون سیستم رو بایپس کنیم یا اصطلاحا دور بزنیم.پس با من همراه باشید بریم سراغ این آموزش 🙂

لینک دانلود ابزار

امیدوارم از این آموزش لذت برده باشید 🙂

کانال تلگرام هکفا

آیا این مطلب برای شما مفید بود؟

میانگین امتیاز 5 / 5. 3

Avatar photo
مهران کیاء

مهران کیاء فعال در حوزه تست نفوذ شبکه علاقه مند به یادگیری و کسب تجربه و چالش های جدید دوستان عزیز جهت مطرح کردن سوالات و مشکلات خودشون در دوره های آموزشی بنده میتونن از طریق کانال تلگرام هکفا اقدام کنند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

18 − 1 =

ورود | ثبت نام
شماره موبایل خود را وارد کنید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ورود با رمز عبور
ارسال مجدد کد تا دیگر
دریافت مجدد کد تایید
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
ورود با رمز یکبار مصرف
بازیابی رمز عبور
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
بازیابی رمز عبور
برگشت
درخواست بازیابی رمز عبور
لطفاً پست الکترونیک یا موبایل خود را وارد نمایید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ورود با رمز عبور
ارسال مجدد کد تا دیگر
دریافت مجدد کد تایید
ایمیل بازیابی ارسال شد!
لطفاً به صندوق الکترونیکی خود مراجعه کرده و بر روی لینک ارسال شده کلیک نمایید.
تغییر رمز عبور
یک رمز عبور برای اکانت خود تنظیم کنید
تغییر رمز با موفقیت انجام شد