Zig Strike je napredni ofanzivni alat namijenjen zaobilaženju sofisticiranih sigurnosnih rješenja, uključujući antivirusne programe (AV), antivirusne programe nove generacije (NGAV) te sisteme za detekciju i odgovor na krajnjim tačkama (XDR/EDR).
Ovaj alat otvorenog koda predstavlja značajan napredak u mogućnostima “red team” timova, koristeći moderni programski jezik Zig za kreiranje izrazito prikrivenih tereta koji mogu zaobići čak i Microsoft Defender za krajnje tačke (MDE).
Alat baziran na Zig-u generiše prikrivene terete koji uspješno prolaze kroz AV, XDR i EDR sigurnosne sisteme. Koristi četiri različite tehnike ubrizgavanja, uključujući “thread hijacking” i mapiranje memorije za prikriveno izvršavanje. Kroz kompajliranje u vrijeme izrade, Base64 kodiranje i provjere protiv “sandbox” okruženja, alat uspješno izbjegava detekciju. Takođe, generiše DLL i Excel Add-in terete sa web interfejsom, što dodatno proširuje mogućnosti “red team” aktivnosti.
Zig Strike implementira četiri specifična metoda ubrizgavanja dizajnirana za različite scenarije napada. Alat podržava lokalno ubrizgavanje niti (thread injection), pri čemu se postojeće niti preuzimaju i izvršavanje tereta preusmjerava kroz lažne funkcijske povratke, dok se vrši zamjena funkcija na API adresama Windowsa. Dalji napredak postiže se daljinskim “thread hijackingom”, gdje se ciljaju postojeće niti u udaljenim procesima, koristeći GetThreadContext i SetThreadContext API-je za direktno manipulisanje pokazivačem instrukcije (RIP) prema shellcode-u.
KPMG je istakao da alat takođe uključuje lokalne tehnike mapiranja koje koriste Windows API-je za mapiranje datoteka, poput CreateFileMappingW i MapViewOfFile, kako bi se alocirala memorija za izvršavanje, značajno smanjujući sumnjive memorijske obrasce koje obično označavaju EDR rješenja. Lokalno mapiranje dalje proširuje ovaj koncept putem ubrizgavanja u druge procese, koristeći MapViewOfFileNuma2 API za mapiranje shellcode-a u adresne prostore udaljenih procesa.
Sposobnosti alata za izbjegavanje detekcije dodatno su poboljšane Zig-ovom “comptime” funkcionalnošću, koja omogućava izvršavanje koda tokom kompilacije radi veće efikasnosti i prikrivenosti. Zig Strike fragmentira shellcode na manje dijelove koji se skladište kao Base64 kodirane UTF16 “wide-string” varijable unutar .rdata sekcije PE datoteke, čineći statičku analizu znatno težom za identifikaciju.
Sistem implementira mehanizme protiv “sandbox” okruženja, uključujući provjere Trusted Platform Module (TPM) i verifikaciju domenske pripadnosti kako bi se spriječila dinamička analiza u virtualizovanim okruženjima. Ove tehnike osiguravaju da se tereti izvršavaju samo u legitimnim korporativnim okruženjima, zaobilazeći automatske sisteme za sigurnosnu analizu.
Zig Strike generiše terete u više formata, uključujući dinamičke biblioteke (DLL) koje podržavaju i 32-bitne i 64-bitne arhitekture, kao i Excel Add-ins (XLL) za integraciju sa Microsoft Office-om. XLL format se pokazao posebno efikasnim jer koristi povjerenje koje Excel dodjeljuje svojim dodacima kako bi zaobišao pravila za smanjenje površine napada (ASR).
Alatov web interfejs zasnovan na Pythonu omogućava dinamičko prilagođavanje tereta, uz vizuelne obavijesti o kompilaciji i jednostavne mogućnosti izvoza. Buduća izdanja planiraju uključiti direktne i indirektne sistemske pozive (syscalls), dodatne tehnike ubrizgavanja i metode prikrivanja kašnjenja kako bi se dalje unaprijedile sposobnosti izbjegavanja detekcije.
Ovaj razvoj naglašava kritičnu potrebu da organizacije primjenjuju slojevite strategije odbrane i kontinuirano ažuriraju svoje sigurnosne postavke protiv rastućih prijetnji u savremenom sajber bezbjednosnom pejzažu.
