Istraživači su obuhvatili i naoružali .NET sklopove koristeći MacroPack
Krajolik kibernetičke sigurnosti svjedočio je značajnom razvoju u sofisticiranosti zlonamjernog softvera, a akteri prijetnji sve više iskorištavaju legitimne okvire za programiranje u zlonamjerne svrhe. Nedavno se pojavio značajan razvoj koji uključuje naoružavanje .NET sklopova putem naprednih tehnika zamagljivanja, što predstavlja zabrinjavajući trend u ofanzivnim sigurnosnim operacijama. Ovaj sofisticirani pristup iskorištava inherentne karakteristike .NET okvira, koji je postao preferirani jezik za brojne ofanzivne sigurnosne alate, uključujući Rubeus, SeatBelt, SharpDPAPI i Certify.
Pojava ove prijetnje proizlazi iz temeljne ranjivosti u arhitekturi .NET. Za razliku od tradicionalnih prevedenih izvršnih datoteka, .NET binarni kodovi sadrže međujezični kod koji zadržava većinu simbola iz izvornog koda, čak i kada se prevede u izdanom načinu rada. Ova karakteristika, iako korisna za legitimne svrhe razvoja, stvara priliku kako za branitelje da kreiraju potpise, tako i za napadače da iskoriste transparentnost okvira.
Vektori napada zlonamjernog softvera obuhvataju više mehanizama isporuke, uključujući prijenose izvršnih datoteka, Visual Basic skripte, implementacije JavaScripta, HTA dokumente, batch skripte i Office dokumente ugrađene s VBA makroima. Istraživači BallisKit identificirali su ovaj sofisticirani okvir za zamagljivanje integriran u MacroPack Pro, koji implementira sveobuhvatan scenarij nazvan WEAPONIZE_DOTNET. Istraživači su dokumentirali kako akteri prijetnji mogu sustavno transformirati legitimne .NET sklopove u naoružane terete, izbjegavajući pritom tradicionalne sigurnosne mehanizme otkrivanja.
Utjecaj okvira proširuje se na više ofanzivnih sigurnosnih alata, s uspješnim testiranjem provedenim na sklopovima KrbRelay, Rubeus, Mythic Apollo Implant, SeatBelt, SharpDPAPI i SharpHound.
Napredne tehnike zamagljivanja i izbjegavanja
Temeljna snaga ovog pristupa naoružavanja leži u sofisticiranim mehanizmima zamagljivanja koji sustavno neutraliziraju uobičajene metode otkrivanja. Okvir koristi četiri primarne strategije zamagljivanja, od kojih svaka cilja na specifične aspekte .NET analize i otkrivanja sklopova.
Mutacija PInvoke u DInvoke predstavlja ključnu tehniku izbjegavanja implementiranu putem opcije –obfuscate-dotnet-dinvoke-mutation. Tradicionalne .NET aplikacije koriste PInvoke funkcije za uvoz izvornih Windows API poziva, pohranjujući nazive funkcija i biblioteka u čistom tekstu unutar sklopa. Ovo stvara lako otkrivajuće potpise za sigurnosna rješenja. Proces zamagljivanja pretvara ove statičke uvoze u dinamičke DInvoke pozive, izvršene u vrijeme izvođenja putem delegata koji funkcioniraju kao zamagljeni pokazivači funkcija.
Mehanizam rukovanja refleksijom rješava temeljni izazov u .NET zamagljivanju. Kada sklopovi koriste refleksiju za pristup informacijama o svom vlastitom strukturiranju u vrijeme izvođenja, tradicionalno zamagljivanje narušava funkcionalnost preimenovanjem simbola. Opcija –obfuscate-dotnet-reflection-handling stvara mapiranje u vrijeme izvođenja između zamagljenih simbola i njihovih izvornih vrijednosti, održavajući funkcionalnost dok zadržava mogućnosti prikrivanja.
Možda najvažnije, tehnika ugrađivanja putem –obfuscate-dotnet-embed potpuno transformira izgled sklopa stvaranjem .NET pokretača koji dinamički učitava zamagljeni teret izravno u memoriji. Ovaj pristup osigurava da zlonamjerni sklop nikada ne dodirne disk, značajno komplicirajući forenzičku analizu i sustave za otkrivanje na temelju datoteka. Okvir održava kompatibilnost s verzijama .NET okvira od 3.5 nadalje, osiguravajući široke mogućnosti implementacije na sustavima Windows 7 do trenutnih sustava Windows 10 i 11.
